Académique Documents
Professionnel Documents
Culture Documents
Orientadora
a a
Prof. Dr. Simone Borges Simo Monteiro
Braslia
2015
Ficha catalogrfica elaborada automaticamente,
com os dados fornecidos pelo(a) autor(a)
Prof. Dr. Gladston Luiz da Silva Prof.a Dr.a Regiane Mximo de Souza
EST/UnB FEB/UNESP
Este trabalho dedicado minha famlia: Aos meus pais, Ccero Pereira de Freitas
(in memorian) e Maria de Ftima Alves de Freitas, aos meus irmos Mnica, Nadja e
Jadson e s minhas pedras preciosas, minha esposa Raquel e minha filha Giulia.
So Francisco de Assis
iv
Agradecimentos
Primeiramente agradeo ao autor de todas as obras, Deus nosso senhor, por todas as
conquistas obtidas.
Externo um agradecimento especial aos professores Dr. Jacir Luiz Bordim e Dr.
Marcelo Ladeira pelo aprendizado profissional e tico transmitidos. Aos demais profes-
sores da linha de pesquisa Gesto de Risco, pelo rico aprendizado transmitido.
Tambm agradeo aos amigos do CPD/UnB pelo apoio em todos os momentos, em
especial aos amigos Domingos Pereira, Leonam Luiz, Jos de Arimatea, Luiz Carlos,
Wellington Ferreira, Suamir Jorge, Maria Heldaiva e ao Prof. Dr. Jorge Henrique
Cabral Fernandes.
Agradeo tambm a companhia e companheirismo de todos os colegas de turma,
em especial aos amigos Juvenal Barreto, Marcelo Karam, Riane Torres, Andrei Lima,
Arthur Winter, Ricardo Moraes, Claudio Xavier e Alex Anderson
minha orientadora, Profa Dra Simone Borges Simo Monteiro, pela confiana,
simpatia, pacincia e dedicao na conduo desse trabalho.
Aos familiares que torceram por essa conquista, em particular minha me, Maria
de Ftima e aos meus irmos Mnica, Nadja e Jadson, pelos ensinamentos, confiana,
incentivo e apoio nos momentos mais difceis dessa jornada.
Deixo ainda um agradecimento especial s minhas joias raras, Raquel e Giulia, pelo
incentivo, pacincia, parceria, f e compreenso demonstrados em todos os momentos,
e acima de tudo, pela motivao necessria que me fez levantar nos momentos mais
difceis.
Enfim, a todos que contriburam diretamente ou indiretamente neste trabalho com
os constantes apoios, incentivos e oraes.
v
Resumo
A importncia do setor de TI est cada vez mais evidente e passou a ser um ativo im-
prescindvel nos negcios. Porm, sua visibilidade quanto qualidade de seus servios
ainda no est consolidada, principalmente quando o cenrio so as Instituies Pbli-
cas. Nesse sentido, a utilizao de boas prticas recomendadas, tanto pelos frameworks
como pelos rgos de fiscalizao e de controle, se constitui como medida essencial para
o sucesso da gesto dos servios de TI. Associado ao uso das boas prticas, a utilizao
de metodologias de gesto de risco tambm fundamental para que rgo de TI con-
tribua efetivamente e crie valor para a organizao. Nesse estudo de caso, por meio de
abordagens qualitativa e quantitativa, utilizou-se pesquisas relacionadas aos servios de
negcio do Centro de Informtica da Universidade de Braslia a fim de propor melhorias
com base nas boas prticas de gerenciamento de servios de TI e de gesto de risco, nos
servios considerados crticos do rgo. Para isso, foi necessrio identificar e classificar os
servios de TI na viso dos gestores do rgo e identificar e priorizar os servios crticos
na viso dos clientes de TI. Com esses dados foi possvel realizar o levantamento dos
riscos dos servios para identificar os pontos vulnerveis dos processos; o mapeamento
e o redesenho dos processos envolvidos. Como resultado, proposta a implementao
de uma estrutura baseada em processos de gerenciamento de TI, composta por um con-
junto de documentos que visam a melhoria da gesto dos servios do rgo, utilizando
recomendaes da ITIL V3 e COBIT 5, bem como a implementao de um plano de
gesto de risco com base na Norma ABNT ISO/IEC 31000:2009.
vi
Abstract
The importance of the IT sector is increasingly evident and it has become an indispens-
able asset in business. However, how it is looked at regarding service quality has not yet
solidified, especially within public institutions. In this sense, the use of best practices
by frameworks and supervision and control agencies constitutes an essential measure for
success in the management of IT services.Associated with the use of best practices, the
use of risk management methodologies becomes essential for IT agencies to contribute
effectively and to add value to the organization. In this case study, through qualita-
tive and quantitative approaches, we used research done on the services performed by
the Computer Centre of the University of Brasilia to propose improvements based on
best practice management of IT services and management of services considered critical
within this agency. In order to accomplish that, it was necessary to identify and classify
the IT services through the point of view of agency managers, and categorize and prior-
itize critical services through point of the view of IT customers. With these data it was
possible to survey the risks inherit to the services and to identify vulnerable points in the
processes; and then to map and redesign them.As a result, the proposal is to implement
a structure based on IT management processes consisting of a set of documents aimed
at improving the management of services of the agency, using the ITIL v3 and COBIT
5 recommendations, as well as the implementation of a risk management plan based on
the ISO / IEC 31000: 2009 Standard.
vii
Sumrio
1 Introduo 1
1.1 Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.3 Estrutura dos Captulos . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
viii
3.5.2 Anlise e Melhoria de Processos . . . . . . . . . . . . . . . . . . . 63
3.5.3 Modelagem de Processo . . . . . . . . . . . . . . . . . . . . . . . 64
3.5.4 Modelagem do Estado Futuro (To-Be) - Redesenho . . . . . . . . 68
4 Metodologia da Pesquisa 71
4.1 Mtodos de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.2 Estruturao da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.2.1 Preparao da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . 73
4.2.2 Construo da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . 73
5 O Estudo de Caso 78
5.1 Contextualizao do Setor de TI na Administrao Pblica Federal . . . 78
5.1.1 Levantamento de Governana de TI nas Instituies Federais de
Ensino Superior - IFES (Ciclo 2012) . . . . . . . . . . . . . . . . 86
5.2 Cenrio da Tecnologia da Informao do rgo junto ao Tribunal de Con-
tas da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.3 A Tecnologia da Informao na UnB: O Centro de Informtica . . . . . . 90
5.4 Cenrio do rgo de TI junto Instituio . . . . . . . . . . . . . . . . . 92
5.5 Pesquisa 1 - Classificao dos Servios de TI do CPD/UnB: Servios de
Negcio e Servios de Suporte . . . . . . . . . . . . . . . . . . . . . . . . 94
5.6 Pesquisa 2 - Classificao e Priorizao dos Servios de TI na Viso dos
Clientes Quanto Criticidade (Anlise Multicritrio - AHP) . . . . . . . 98
5.7 Mapeamento dos Processos dos Servios Priorizados (As-Is) . . . . . . . 103
5.7.1 Servios de Redes e Conectividade e de Atendimento ao Usurio . 103
5.8 Levantamento dos Principais Riscos dos Processos Mapeados . . . . . . . 108
5.8.1 Identificao dos Riscos . . . . . . . . . . . . . . . . . . . . . . . 108
5.8.2 Anlise dos Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . 111
5.8.3 Avaliao dos Riscos . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.8.4 Tratamento dos Riscos . . . . . . . . . . . . . . . . . . . . . . . . 116
ix
6.1.5 Ferramenta de Apoio Gesto dos Servios de TI . . . . . . . . . 132
Referncias 137
Apndice 145
x
Lista de Figuras
xi
5.1 Estrutura do questionrio do levantamento perfil iGovTI2012 . . . . . . . 80
5.2 Avaliao controle da gesto de estratgias e planos . . . . . . . . . . . . 81
5.3 Avaliao capacidade em controle da gesto de informao e conhecimento 81
5.4 Avaliao controle da gesto de pessoas em TI . . . . . . . . . . . . . . . 82
5.5 Avaliao controle da gesto de processos de TI . . . . . . . . . . . . . . 84
5.6 Comparativo do processos de gesto de servios de TI . . . . . . . . . . . 84
5.7 Comparativo do processos de gesto de nveis de servios de TI . . . . . . 85
5.8 iGovTI 2010 e 2012 - UnB . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.9 Resultado avaliao TCU dos Processos de Gesto de Servios de TI . . . 89
5.10 Componentes estratgicos CPD/UnB . . . . . . . . . . . . . . . . . . . . 90
5.11 Organograma extraoficial do CPD . . . . . . . . . . . . . . . . . . . . . . 91
5.12 Organograma oficial do CPD - regimento de 1996 . . . . . . . . . . . . . 92
5.13 Relacionamento reas estratgicas e TI . . . . . . . . . . . . . . . . . . . 93
5.14 reas e respectivos servios prestados pelo CPD/UnB . . . . . . . . . . . 95
5.15 Descrio do servio Antivrus . . . . . . . . . . . . . . . . . . . . . . . . 96
5.16 Descrio dos servios do CPD/UnB na viso dos gestores . . . . . . . . 96
5.17 Identificao dos servios do CPD/UnB na viso dos gestores . . . . . . . 97
5.18 Representao da estrutura de avaliao dos servios de TI . . . . . . . . 100
5.19 Hierarquia dos servios de TI conforme julgamento dos gestores . . . . . 101
5.20 Resultado dos servios priorizados . . . . . . . . . . . . . . . . . . . . . . 102
5.21 Resultado consolidado dos julgamentos dos critrios . . . . . . . . . . . . 103
5.22 Matriz SIPOC do processo de redes e conectividade . . . . . . . . . . . . 104
5.23 Matriz SIPOC do processo de atendimento ao usurio . . . . . . . . . . . 104
5.24 Diagrama do processo de Redes e Conectividade - viso As-Is . . . . . . 105
5.25 Diagrama do processo de Atendimento ao Usurio - viso As-Is . . . . . 106
5.26 Anlise das atividades do processo de Redes e Conectividade . . . . . . . 107
5.27 Anlise das atividades do processo de Atendimento ao Usurio . . . . . . 107
5.28 Riscos Levantados - Redes e Conectividade . . . . . . . . . . . . . . . . . 108
5.29 Riscos Levantados - Atendimento ao Usurio . . . . . . . . . . . . . . . . 109
5.30 Diagrama de afinidades para riscos - Redes e Conectividade . . . . . . . 110
5.31 Diagrama de afinidades para riscos - Atendimento ao Usurio . . . . . . 111
5.32 Matriz de Probabilidade x Impacto . . . . . . . . . . . . . . . . . . . . . 112
5.33 Matriz de Probabilidade x Impacto do processo de Redes e Conectividade 113
5.34 Matriz de Probabilidade x Impacto do processo de Atendimento ao Usurio114
5.35 Representao dos riscos operacionais Redes e Conectividade . . . . . . 116
xii
5.36 Representao dos riscos operacionais Atendimento ao Usurio . . . . . 116
5.37 Template do Plano de Gesto de Riscos . . . . . . . . . . . . . . . . . . . 117
5.38 Plano de gesto de risco processo de Redes e Conectividade . . . . . . . . 118
5.39 Plano de gesto de risco processo de Atendimento ao Usurio . . . . . . . 119
6.1 Referncia dos documentos para o registro das informaes dos processos
de Redes e Conectividade e de Atendimento ao Usurio . . . . . . . . . . 122
6.2 Representao da Estrutura de Gerenciamento de Servios de TI . . . . . 123
6.3 Documentao de referncia do processo de Redes e Conectividade . . . . 124
6.4 Documentao de referncia do processo de Atendimento ao Usurio . . . 125
6.5 Plano de Acordo de Nvel de Servios Redes e Conectividade . . . . . . 126
6.6 Plano de Acordo de Nvel de Servios Atendimento ao Usurio . . . . . 126
6.7 Catlogo de Servio Redes e Conectividade . . . . . . . . . . . . . . . . 127
6.8 Catlogo de Servio Atendimento ao Usurio . . . . . . . . . . . . . . . 128
6.9 Diagrama do processo de Redes e Conectividade viso TO-BE . . . . . 129
6.10 Diagrama do processo de Atendimento ao Usurio viso TO-BE . . . . 130
6.11 Representao subprocesso de soluo de chamado . . . . . . . . . . . . . 131
xiii
F.2 Proposta Plano de Acordo de Nvel de Servio . . . . . . . . . . . . . . . 161
F.3 Proposta Plano de Acordo de Nvel de Servio . . . . . . . . . . . . . . . 162
xiv
Lista de Tabelas
xv
Lista de Abreviaturas e Siglas
ABNT Associao Brasileira de Normas Tcnicas. vi, 3, 18, 26, 45-58, 117, 131, 135
AHP Analytic Hierarchy Process. xv, 34, 35-38, 74, 98, 99
ANO Acordo de Nvel Operacional. xi, 23, 92, 121, 130
ANS Acordo de Nvel de Servio. xi, 22, 23, 26, 27, 121, 123, 125, 130
APF Administrao Pblica Federal. 2, 3, 22, 78, 83-85, 134
CME Centro de Manuteno de Equipamentos. 93
COBIT Control Objectives for Information and Related. vi, vii, x, xii, 38-45, 120-122
CPD/UnB Centro de Informtica da Universidade de Braslia. v, ix, x, 94-98, 149
CRM Customer Relationship Management. 8
ERP Enterprise Resource Planning. 8
FUB Fundao Universidade de Braslia. 3, 4, 89, 92-94
GESPBLICA Programa Nacional de Gesto Pblica e Desburocratizao. 74, 79
GSTI Gerenciamento de Servios de Tecnologia da Informao. viii, ix, xi, 21, 76
xvi
IEC International Electrotechnical Commission. vi, vii, 28, 50, 55, 137, 143
IFES Instituies Federais de Ensino Superior. ix, xv, 86-89
iGovTI ndice de Governana de Tecnologia da Informao. xii, xv, 3, 78-80, 86-89
ISACA Information Systems Audit and Control Association. 29, 38, 40, 141
ISACF Information Systems Audit and Control Foundation. 29
ISO International Organization for Standardization. vi, viii, 4, 119, 135, 142, 144
ITGI Information Technology Governance Institute. 10, 29, 44, 148
ITIL Information Technology Infrastructure Library. vi, vii, ix, x, xi, 28, 38, 73, 75
NBR Norma Brasileira aprovada pela ABNT. viii, 18, 42, 50, 119
PDTI Plano Diretor de Tecnologia de Informao. 80
PRC Prefeitura do Campus. 93, 130
SEFTI Secretaria de Fiscalizao de Tecnologia da Informao. 134
SIPOC Suppliers, Inputs, Process, Outputs and Customers. xii, 103, 104
SISP Sistema de Administrao de Recursos de Informao e Informtica. 89
SLA Service Level Agreement. 11, 23, 27, 115, 117
TCU Tribunal de Contas da Unio. xii, 2, 4, 66, 84, 89, 94
TI Tecnologia da Informao. vi, viii, ix, 1-15, 19-45, 56-58, 76-81, 90, 101, 125
xvii
Captulo 1
Introduo
1
gestores por meio do fornecimento de ferramentas e mtricas que garantam o alinhamento
entre os processos de TI e os objetivos estratgicos da instituio.
A eficincia das atividades organizacionais se manifesta pelo domnio dos mtodos,
controle e gesto, o que requer o conhecimento dos seus processos operacionais, tanto
internos quanto externos, que conduz a organizao na prtica do controle e no ganho de
padres de maturidade (TONINI; CARVALHO e SPINOLA) [109]. Porm, os autores
ressaltam que o uso da TI alinhada estratgia do negcio sem mtodos e procedimentos
definidos dificultam o gerenciamento dos servios de TI, eleva os riscos e a necessidade
de investimento, tornando-se uma atividade complexa para as instituies pblicas.
No setor pblico, gradativamente, a TI tem deixado de ser interpretada como rea
de suporte para servir como base s estratgias de negcio das instituies pblicas,
consequentemente exigindo um maior monitoramento e controle (BRASIL) [18]. Isso, em
parte, se deve pelo papel que o setor pblico tem na interao entre cidados, empresas
e governo, por meio da prestao de servios.
Nesse contexto, a adoo de processos de gerenciamento de servios e de gesto de
risco condio importante para alcanar os objetivos estratgicos e, consequentemente,
atender aos anseios dos usurios desses servios.
Observa-se que durante os ltimos anos, os rgos de controle da Administrao
Pblica Federal APF, especialmente o Tribunal de Contas da Unio TCU, vem
acompanhando de perto a situao dos nveis de governana e gesto dos servios de
TI dos rgos da APF. Isso pode ser confirmado pela publicao de alguns acrdos
que descrevem a situao dos nveis de governana, gesto de servios de TI e gesto de
riscos.
De acordo com o Relatrio do TCU 2014 (Brasil) [20] , referente ao levantamento
de gesto e governana de TI, o rgo objeto desse estudo (Centro de Informtica da
UnB CPD/UnB) no vem apresentando resultados satisfatrios. Dessa forma, h a
preocupao por parte do CPD/UnB em melhorar os atuais ndices de governana e de
gesto de TI para que se alcance tambm maior qualidade nos servios prestados aos
clientes e usurios da instituio.
A prxima seo apresenta a justificativa da pesquisa.
1.1 Justificativa
O aumento da demanda pelos servios de TI no mbito universitrio tem levado a vrias
instituies a repensarem seus processos de trabalho, uma vez que alguns fatores no
2
acompanham proporcionalmente a essa demanda, tais como o total de investimentos e o
quantitativo de trabalhadores da rea de TI, de modo a atender aos objetivos estratgicos
das instituies.
Por outro lado, uma gesto precria e conceitos de governana e de gesto de TI inci-
pientes so indicativos de desperdcio de recursos pblicos, sejam humanos ou financeiros.
Brasil [17] ressalta que existem instituies pblicas que gerem recursos oramentrios
substanciais, mas no demonstram bons nveis de governana e de gesto de TI. Isso
sugere maior risco na gesto do dinheiro pblico. Esses problemas tornam-se mais cr-
ticos se for considerada a enorme quantidade de recursos que so destinadas para a TI
da APF.
Em estudos e levantamentos recentes FUB [30] e [31], constata-se que alguns aspec-
tos relacionados ao processo de prestao de servio de TI no so satisfatrios no rgo
pesquisado. Nesses, h a indicao de interveno imediata para que questes normati-
vas e legais sejam atendidas. Identifica-se a necessidade de dotar o CPD/UnB de uma
estrutura organizacional e de meios condizentes que atenda s expectativas da comuni-
dade universitria e da administrao superior quanto qualidade de TI na universidade
possibilitando a sua modernizao (FUB) [30]. Identifica-se tambm entre os pontos fra-
cos que fazem parte do cotidiano da universidade os seguintes aspectos: ineficincia das
polticas, normas e procedimentos em TI e comunicao e a falta de integrao em sis-
temas de informao e comunicao (FUB) [31]. Alm disso, o levantamento do nvel
de governana e gesto de TI, denominado iGovTI, realizado a cada 02 (dois) anos pelo
TCU, comprova algumas deficincias nos processos relacionados TI do rgo. Esse
ltimo levantamento apresentado em detalhes no Captulo 6.
Mesmo considerando que nos ltimos anos o CPD/UnB vem adotando medidas para
a melhoria da qualidade de seus servios, identificadas por meio do mapeamento de
alguns processos de trabalho, aquisio de equipamentos para melhorar a qualidade
e disponibilidade da rede de Internet e capacitao de servidores, ainda evidente a
ausncia de prticas que contribuam tanto para essa melhoria dos servios como para o
atendimento s recomendaes dos rgos de controle.
A adoo de alguns processos de Gerenciamento de Servios de Tecnologia da In-
formao GSTI mostra-se como um importante insumo para o reconhecimento do
rgo, porm, antes de sua implementao necessrio conhecer as particularidades e
limitaes do local.
Dentre algumas boas prticas recomendadas para o GSTI, o presente estudo prope
utilizar algumas recomendaes da biblioteca ITIL (Information Technology Infraes-
3
tructure Library) V3, do COBIT (Control Objectives for Information and Related Te-
chnology) 5 e da ISO (International Organization for Standardization) 31.000:2009 para
melhorar o processo de gesto dos servios do rgo. Na identificao dos principais
problemas, utiliza-se o levantamento realizado pelo TCU, as pesquisas com gestores e
clientes dos servios e o levantamento dos riscos.
Atualmente no h uma padronizao no processo de atendimento ao usurio dos
servios do rgo, tampouco a catalogao e documentao desses servios. Dessa forma,
considerando a problemtica encontrada, identificada pela baixa aderncia aos elementos
e processos de GSTI levantados pelo TCU, bem como pela identificao dos servios e
levantamento dos riscos pelos gestores do rgo, a pesquisa pretende obter insumos para
estabelecer uma estrutura de GSTI compatvel realidade institucional.
A justificativa para uma pesquisa, na viso de Roesch [90], deve estar baseada em
trs aspectos principais: na sua importncia, oportunidade e viabilidade. No que se
refere sua importncia, a pesquisa busca apresentar como resultados, contribuies
efetivas para a melhoria no gerenciamento dos servios de TI e da qualidade desses
servios do CPD/UnB, por meio do aperfeioamento dos processos de trabalho baseados
no levantamento da situao atual do rgo e nas boas prticas recomendadas.
No que tange ao aspecto da oportunidade, a pesquisa em questo justifica-se pela
importncia da tecnologia da informao no contexto do negcio da instituio, reconhe-
cidamente como um ativo essencial para o alcance dos objetivos institucionais, conforme
pode ser observado na 1.1, que mostra os objetivos estratgicos da Instituio. Alguns
dos objetivos definidos so comuns a mais de uma unidade, pois englobam as principais
reas estratgicas da instituio. Por isso, foram descritas somente as estratgias que
envolvem diretamente ou so de responsabilidade do rgo de TI.
Nesse caso, a presente pesquisa se desenvolve predominantemente nas estratgias
relacionadas Catalogao dos Servios e na implementao de Acordos de Nveis de
Servios.
Quanto viabilidade, a pesquisa vivel, pois o pesquisador atua profissionalmente
na Instituio e a mesma necessita de aes de melhoria, conforme recomendado por
Brasil [16], [18], FUB [30] [31].
Para a universidade, como ente administrativo, a relevncia da pesquisa se concentra
na possibilidade de ter subsdios para implementao de uma estrutura de governana
eficiente, tanto na qualidade dos servios como tambm no uso adequado dos recursos
pblicos disponibilizados.
Aps essa breve contextualizao, a prxima seo descreve os objetivos do trabalho.
4
Figura 1.1: Objetivos Estratgicos rea de TI
(Adaptado de FUB [31])
5
1.2 Objetivos
O objetivo geral do trabalho desenvolver e propor uma estrutura de Gerenciamento
de Servios de TI para o Centro de Informtica da Universidade de Braslia, baseada
no processo de gesto de riscos e nas normas e regulamentos recomendados pelos rgos
de fiscalizao e de controle. Para isso, necessita-se que alguns objetivos intermedirios
sejam atendidos:
Com base nisso, pretende-se obter o fundamento suficiente para propor uma estrutura
de GSTI com base nas melhores prticas recomendadas, nos riscos conhecidos, bem como
nas normas exigidas pelos rgos fiscalizadores.
Na sequncia apresentada a estruturao dos captulos.
6
Captulo 2
7
mundo que se torna um desafio encontrar algum aspecto em que ela no esteja presente.
Laurindo [64] cita que com a juno dos dois termos - Tecnologia e Informao, o conceito
de servios de TI ampliado, englobando vrios aspectos, tais como: hardware, software,
telecomunicaes, automao, recursos multimdia, recursos de organizao de dados,
sistemas de informao, negcios, usurios e as relaes complexas envolvidas na coleta,
uso, anlise e utilizao da informao.
Essa constatao corroborada pelas ideias de Potter, Turban e Rainer [85], que
identificam que a TI abrange uma gama de produtos de hardware e software capazes
de coletar, armazenar, processar e acessar nmeros e imagens, que so usados para
aperfeioar os processos de trabalho de empresas.
Porm, Magalhes e Pinheiro [69], mesmo considerando a importncia vital dos as-
pectos tcnicos e tecnolgicos, destacam a ideia de que a rea de TI deixou de ser mera-
mente um suporte tcnico e passou a exercer o papel de apoiar o negcio da instituio
por meio das demandas de servios e necessidades da organizao e dos usurios.
Para identificar os servios prestados pela rea de TI necessrio ter definido o
que essa rea para a organizao. Geralmente, as atividades principais da rea de
TI referem-se aos servios de desenvolvimento e manuteno de sistemas, ao suporte
de microinformtica, suporte infraestrutura e atividades de planejamento e gesto
(LAUDON; LAUDON) [63]. Esses autores, de modo abrangente, definem os servios de
TI em grandes grupos, que podem ser assim descritos:
8
e) Servios de gesto de TI: corresponde ao planejamento e organizao da infraes-
trutura, coordenao das atividades de TI, administrao dos gastos em TI,
gesto de projetos etc;
9
Guerra [49] afirma que devido ao rpido desenvolvimento das tecnologias e da forma
como a TI utilizada pelas instituies, muitos setores de TI das organizaes no
conseguiram acompanhar a evoluo. Setores que antes eram extremamente tcnicos,
reconhecidos como provedores de tecnologias, conhecedores de tcnicas, sistemas e equi-
pamentos de infraestrutura, de repente, estavam suportando praticamente todas as reas
da empresa, sendo a infraestrutura de gesto, comunicao e armazenamento de infor-
maes, alm de provedor de solues de negcio.
Guerra [49] complementa sua ideia de importncia da TI como provedor de servios,
expondo que at os dias atuais os setores de TI que ainda no se adaptaram s exigncia
de mercado, como por exemplo os rgos pblicos, so reconhecidos somente como pro-
vedores de tecnologia, pois apenas gerenciam a infraestrutura. Isso pode ser comprovado
pela forma reativa de atuar, baseada em demandas e com dificuldades de relacionamen-
tos com os clientes, optando pela forma puramente tcnica de atuar ao invs de serem
apoiadores do negcio da instituio.
Para comprovar a importncia da TI como provedora de servios essenciais nas es-
tratgias de negcios de diferentes segmentos, o IT Governance Institute - ITGI [57]
realizou um estudo, cujo resultado mostrou que mais de 50% das organizaes consi-
deram a TI muito importante para a execuo de suas estratgias, conforme mostra a
Tabela 2.1.
10
Figura 2.1: Escala de maturidade da funo de TI
(Adaptado de Magalhes e Pinheiro [69])
Assim, fica claro o consenso de que a TI de hoje deve ser vista como uma provedora
de servios, de solues, orientada ao negcio, com uma postura proativa, ou seja, no
ser apenas provedora de tecnologia, mas tambm fornecedora de servios que agregam
valor a seus clientes. Para isso, Freitas [43], Fagury [36] e Magalhes e Pinheiro [69]
corroboram que fundamental que a TI se modernize, estabelea o cliente e o negcio
da instituio como o foco principal, conhea seus servios, seus clientes e usurios e
mude sua forma de comunicao com esses, pois as infraestruturas por trs do servio
(servios de suporte) no interessam ao cliente, e sim as caractersticas dos servios, tais
como a qualidade do servio, o tipo do servio, a disponibilidade e o tempo de resposta.
Esse entendimento importante tanto para a rea de TI como para as reas de neg-
cio da organizao, pois tais reas passam a ser o cliente da TI e isso leva necessidade
de estabelecer parmetros que possam medir o que a TI entrega aos seus clientes. Esse
relacionamento, conforme Sturm; Morris e Wander [105] baseado em um contrato que
descreve explicitamente os produtos e servios a serem disponibilizados bem como os n-
dices a serem atingidos para o cumprimento dos compromissos acordados. Esse contrato
tem sido representado por um instrumento denominado Acordo de Nvel de Servios
(Service Level Agreement SLA), descrito em maiores detalhes na Seo 2.2.2.
Desta forma, o propsito da utilizao dos servios de TI est no atendimento s
necessidades de negcio por meio da busca de maior produtividade, eficincia dos pro-
cessos e melhoria dos servios oferecidos, alm de satisfao dos clientes/usurios. Para
um melhor entendimento do assunto no contexto desse trabalho, no prximo tpico so
apresentadas as diferenas de conceitos dos termos clientes e usurios de TI na viso
11
das principais prticas e de alguns autores relacionados ao GSTI.
12
de escolher o provedor de servios de TI, logo eles so compulsoriamente, obrigados a
utilizar os servios disponibilizados, inclusive avaliando-os para efeito de melhoria.
Levando em conta as particularidades da instituio estudada, no decorrer dessa pes-
quisa utiliza-se a expresso cliente quando se referir aos aspectos gerenciais e usurios
quando a abordagem envolver mais a operacionalidade dos servios no dia a dia.
A fim de compreender os principais aspectos que envolvem a rea de TI necessrio
que se tenha o conhecimento dos principais conceitos de servios e de servios de TI.
Assim, a seo seguinte aborda as definies da literatura especializada.
13
cliente interessado, sendo composto pela combinao de pessoas, processos e tecnologias
que devem ser definidas por meio de um acordo de nvel de servio (ANS), ou SLA (do
ingls Service Level Agreement).
Entre os conceitos descritos, cabe destaque ao que definido pelo OGC [79] e des-
tacado por Andrade [6]. Na primeira parte, entregar valor ao cliente, pressupe que
um servio transfere algo de valor, interpretado por esse autor como sendo a conjuno
de utilidade (adequao ao propsito) e garantia (adequao ao uso). Na segunda parte
da definio, viabilizando que este atinja os objetivos que persegue, na viso do autor,
pressupe que o valor agregado pelo servio ir levar seu cliente a alcanar os objetivos
do negcio com os quais o servio entregue relaciona-se. A ltima parte, livre de custos
e riscos especficos, determina, ainda na viso de Andrade [6], que o controle e a gesto
relacionados aos custos e riscos decorrentes da entrega dos servios so responsabilidade
do provedor.
Seguindo nessa linha, algumas recomendaes no sentido de tentar padronizar a
aplicao do conceito de servios de TI so sugeridas por OGC [79] e DuMoulin; Flores e
Fine [34]. DuMoulin; Flores e Fine [34] com base na biblioteca ITIL sugerem a utilizao
dos conceitos de servios de negcio e de servios de suporte pela rea de TI. Esses dois
conceitos, segundo a viso dos autores esto descritos nos itens a seguir e sero utilizados
como parmetros para o desenvolvimento da presente pesquisa.
Servios de Negcio
Servios de Suporte
14
2.2 Gerenciamento de Servios de Tecnologia da In-
formao - GSTI
O Gerenciamento de Servios de Tecnologia da Informao GSTI, ou ITSM, em ingls,
definido por Conger; Winniford e Erickson-Harris [28] como sendo a disciplina focada na
definio, gerenciamento e entrega de servios de TI para suportar objetivos de negcio
e necessidades dos clientes.
Na viso de Magalhes e Pinheiro [69], o GSTI pode ser definido como sendo o ge-
renciamento da integrao entre pessoas, processos e tecnologias que formam um servio
de TI, com o objetivo de viabilizar a entrega e o suporte de servios de TI focados nas
necessidades dos clientes e de modo alinhado estratgia da organizao, visando o al-
cance de objetivos de custo e desempenho pelo estabelecimento de acordos de nvel de
servio entre a rea de TI e as demais reas de negcio da organizao.
Neste mesmo direcionamento, Morikane [76] complementa que o GSTI tambm pode
ser definido como um conjunto de processos que devem ser gerenciados e controlados
adequadamente para gerar valor ao negcio, sanando as necessidades operacionais da
organizao e com o foco na qualidade dos servios prestados, de maneira que no haja
indisponibilidade de servios para o cliente.
Cestari Filho [24] confirma que esse conjunto de capacidades especializadas para
prover valor aos clientes na forma de servios pode ser realidade, independentemente do
tipo ou tamanho da organizao, seja ela governamental, multinacional, fornecedora de
servios de TI, ou um ambiente de escritrio com apenas uma pessoa responsvel pelos
servios de TI.
Para que isso seja factvel, imprescindvel o estabelecimento de metas que determine
qual o objetivo a ser alcanado com base no cenrio atual e o plano de ao necessrio,
conforme determinado pela Fronteira da Eficincia 2.2, a qual determina os seguintes
aspectos: objetivo a ser alcanado (ponto A); diagnstico do ponto atual (ponto B) e
estabelecimento do plano de ao que conduzir transformao do desempenho atual
no desempenho desejado.
Magalhes e Pinheiro [69] orientam que aps o estabelecimento do plano de ao,
necessrio que, ao longo de sua execuo, a rea de TI garanta os mecanismos adequados
para o GSTI, conforme pode ser visto na Figura 2.3. Isso pode ser confirmado pela
necessidade de controlar os processos de TI e o modo como eles afetam o desempenho
dos servios de TI disponibilizados, evoluindo em sua maturidade no processo de GSTI.
15
Figura 2.2: Fronteira de eficincia
(Adaptado de Cestari Filho [24])
16
Cestari Filho [24] esclarece que para alcanar os objetivos do GSTI, a rea de TI
deve:
Contribuir de forma estratgica para o negcio;
Permitir a medio de sua contribuio para o negcio;
Entregar servios mais consistentes e estveis;
Dar menor nfase na tecnologia.
Esse ltimo item talvez possa gerar dvidas, mas Cestari Filho [24] ressalta a neces-
sidade de tambm adicionar elementos para que se possa entregar um bom servio ao
cliente.
Magalhes e Pinheiro [69] ainda destacam os fatores motivadores para adoo do
GSTI:
Diante do exposto, o GSTI pode ser entendido como um ativo estratgico da orga-
nizao, ou seja, quando a organizao depende da TI para funcionar porque a TI faz
parte do negcio. um risco operacional, sendo assim, o bom gerenciamento de servios
de TI e dos riscos envolvidos acaba se tornando imprescindvel para o funcionamento da
organizao.
Aps essa contextualizao, a prxima seo apresenta um resumo das melhores
prticas de GSTI.
17
sendo que tais recomendaes so adotadas por organizaes de variados tamanhos e
fins, sejam pblicas ou privadas.
O autor complementa que o foco principal das prticas deve ser nos processos organi-
zacionais do provedor de servios, com vistas a aplicar sobre o ambiente de TI um carter
de preveno, proatividade e com nfase no usurio. Para isso, necessrio interligar
todos os agentes envolvidos (usurios, fornecedores, parceiros) em um ponto nico de
contato, a fim de obter maior eficincia e facilidade no gerenciamento das informaes.
18
a Biblioteca de Infraestrutura de Tecnologia da Informao, da sigla em ingls, ITIL (In-
formation Technology Infraestructure Library), que hoje considerada como um padro
de mercado quando se refere a boas prticas e gerenciamento de servios de TI.
Ferreira [39] e Freitas [43] destacam, cada um com sua viso, que o conjunto de
melhores prticas da ITIL tem como objetivo alinhar os servios de TI aos requisitos de
negcios atravs da gesto de qualidade de seus componentes e servios. Isso faz com
que vrias empresas adotem os processos com o objetivo de obter resultados melhores
na entrega e no suporte aos servios de TI.
A ITIL se configura como a abordagem mais aceita e mais utilizada no mundo para
os aspectos de gerenciamento de servios e composta de 05 livros divididos em 05
ciclos de vida do servio de TI, descritos a seguir (AYAT et al) [7]; (MAGALHES;
PINHEIRO) [69]; (KUMBAKARA) [62]:
19
Figura 2.5: Ciclos de vida do ITIL V3
(Bezerra [12])
20
3 Gerenciamento da Capacidade: garante que a capacidade da infraestrutura de TI
absorva as demandas evolutivas do negcio de forma eficaz e dentro dos custos
previstos, balanceando a oferta de servios em relao demanda e melhorando a
performance da infraestrutura de TI (COLIN; VERNON) [27];
De uma forma sucinta, a ITIL pode ser entendida como uma descrio de prticas
de GSTI que auxilia na implantao e manuteno de uma forma de gerenciamento de
TI focada em pessoas, processos e recursos que so usados na entrega de servios que
atendam s necessidades dos clientes.
21
de acordo com as prioridades do negcio e a um custo aceitvel, acordado com o cliente.
Por um lado, esse processo destina-se a definir o que requerido e adequado ao bom
desempenho organizacional a partir do nvel de servio desejado e da expectativa do
cliente. Por outro, a GNS orienta a equipe da rea de TI na prestao dos servios de
TI ao negcio (MAGALHES; PINHEIRO) [69].
Conforme a ABNT [2], o objetivo do GNS definir, acordar, registrar e gerenciar
nveis de servio, que devem ser monitorados e relatados em comparao com as metas,
demonstrando as informaes atuais e as tendncias. As causas de no conformidade
devem ser relatadas e as aes de melhoria identificadas durante esse processo devem
ser registradas, fornecendo insumos para um plano de melhoria do servio.
O TCU reconhece a importncia desse processo para a APF e por isso vem orientando
as instituies quanto adoo dessa prtica. A gesto de acordos de nvel de servio
essencial para a busca da qualidade do servio prestado pela rea de TI. A ausncia
desse tipo de gesto aumenta as chances de insatisfao dos usurios e os riscos de perda
de foco dos investimentos (BRASIL) [17].
Segundo Dorow [33] o foco principal deste processo assegurar a qualidade dos
Servios em TI que so fornecidos a um custo aceitvel ao negcio. As atividades do
GNS propostas pela ITIL seguem o ciclo abaixo:
6 Reviso: anlise dos dados fornecidos pelo monitoramento e identificao dos pon-
tos que podem ser melhorados na entrega dos servios.
22
definir qual ANS se faz necessrio e a medio da disponibilidade dos servios far com
que a TI seja melhor gerenciada e suas aes se tornaro mais transparentes para a
organizao, com isso a percepo da TI perante a organizao melhorada.
Catlogo de Servios de TI
23
corporao. Ele possui todos os servios oferecidos, softwares e sistemas corporativos
que podem ser instalados e suportados (MAGALHES; PINHEIRO) [69].
Andrade [6] destaca que o Catlogo de Servios um conceito largamente citado
pela biblioteca ITIL como sendo um dos elementos centrais para qualquer projeto que
vislumbre alinhar a rea de TI das organizaes com o negcio.
Lima [68] mostra que mais do que orientar os usurios e tcnicos sobre a oferta de
Servios, o Catlogo organiza o ambiente de TI e possibilita:
1 Que o gestor analise as deficincias sobre cada servio oferecido e tome aes
precisas em cima dos problemas e dos resultados, informaes que podero ser
extradas atravs de mtricas gerenciais;
Sem um Catlogo de Servios padronizado, cada pedido das reas de negcio acaba
sendo tratado de modo no estruturado, o que acarreta dificuldade em atender as suas re-
ais necessidades (MAGALHES; PINHEIRO) [69]. Esses autores ainda sugerem alguns
passos para elaborao de Catlogos de Servios de TI:
1 Utilizar no mximo uma pgina para cada servio, se possvel criar um sistema
que disponibilize aos usurios os itens do catlogo de servios;
24
2 Deixar a especificao do servio o mais simples possvel, lembrando que quem ir
ler poder no ser o pessoal tcnico da rea de TI, mas os integrantes das reas de
negcios;
Em relao estrutura (OGC) [79] sugere a adoo, dentro do catlogo, de uma hi-
erarquia de servios baseada no tipo de qualificao. Sugere-se a utilizao de Servios
de Negcio (os que so vistos pelos clientes) e de Servios de Suporte, tambm cha-
mados de Servios Tcnicos (os que no vistos pelos clientes, mas so essenciais, tais
como servios de infraestrutura, de rede, de aplicao etc.). Sob essa tica, um catlogo
de servios apresenta essas duas vises, descritas a seguir:
Tomando tais recomendaes como insumos, DuMoulin; Flores e Fine [34] propem
um conjunto de atividades detalhadas que fundamentam a construo de um Catlogo
de Servios. Andrade [6] destaca que esse conjunto de atividades possibilita a construo
de um catlogo de servios robusto e efetivo, [...] que se transforma deixando de ser uma
mera sada do processo de Gerenciamento de Nvel de Servios da ITIL para tornar-se
o ponto focal de uma organizao provedora de servios de TI (ANDRADE, [6] p. 18).
A construo desse modelo de catlogo de servios proposto por DuMoulin, Flores e
Fine [34] baseada na seguinte sequncia de atividades:
25
2 Definir as ofertas de servios, seus acordos com os clientes e as requisies de
servio atravs das quais os usurios relacionam-se com os servios;
Contrato de Apoio - CA
26
nvel de servio a ser cumprido pelo futuro contratado. No entanto, luz das definies
anteriores, conclui-se que inadequado considerar ANS equivalente a contrato com for-
necedor ou inserido neste. Conforme definio das normas ABNT, o conceito de ANS
leva em conta a relao existente entre os clientes internos e a rea provedora de servios
de TI da prpria organizao, e tratam contratos e acordos como instrumentos distintos.
De acordo com Sturm; Morris e Jander [105] existem seis razes determinantes para
se estabelecer a gesto de servios dentro de uma empresa ou com um provedor de
servios:
4 Marketing interno dos servios de TI: Sob o ponto de vista dos clientes, a TI , mui-
tas vezes, vista como um mal necessrio. Mas quando a rea de TI pode mostrar
que ela prov bons servios para incrementar os negcios, os clientes constatam
que ela um bem para a empresa;
5 Controle de custos: Um bom SLA deve esclarecer quais reas de servio precisam
de melhorias e em quais reas os nveis de servio esto satisfatrios, para que os
recursos possam ser canalizados de acordo e eficientemente;
Sturm; Morris e Jander [105] fazem uma importante observao que pode auxiliar
o entendimento de problemas por parte dos usurios. Segundo estes autores, os rela-
27
trios de nvel de servio so um veculo de comunicao importante entre a rea de
TI, a comunidade usuria e as linhas de negcio. Relatrios efetivos permitem endere-
ar pr-ativamente dificuldades do servio e reduzir o efeito negativo da reputao do
departamento de TI como resultado de servios indisponveis ou da degradao de um
servio.
Diante das observaes, constata-se que o processo de GNS contribui para a satisfa-
o das expectativas dos clientes, pois estabelece, quando executado de forma eficiente,
informaes precisas e atualizadas, alm de mecanismos que determinam o resultado
esperado da prestao do servio pela rea de TI e como ele ser monitorado em re-
lao s metas estabelecidas. Quando esse servio prestado por fornecedor externo,
esse processo capaz de auxiliar na gesto dos resultados entregues com base nas metas
definidas em contrato.
28
Conforme Cestari Filho [24], o escopo para implementao da ISO/IEC 20000 deve
ser estabelecido conforme a estratgia da organizao, podendo abranger desde um ser-
vio especfico dentro de uma das operaes at a totalidade dos servios prestados. O
autor tambm recomenda que, assim como na adoo das prticas da ITIL, no caso
da ISO/IEC 20000 seja feita de forma gradual, partindo-se de um escopo reduzido de
operaes e posteriormente estendendo para as demais.
O Control Objectives for Information and Related Technology - COBIT foi desenvolvido
pelo The Information System Audit and Control Foundation (ISACF) e posteriormente
passou a ser mantido pelo IT Governance Institute (ITGI).
Inicialmente o COBIT foi criado com o objetivo de apoiar a auditoria, mas, posteri-
ormente, tambm se tornou uma ferramenta de gesto da rea de TI e de alinhamento
estratgico para ajudar a entender e a gerenciar os riscos e benefcios associados a TI
(VIEIRA) [114].
Atualmente o COBIT est em sua quinta verso, atualizada no ano de 2012 e con-
forme definido por Isaca [56], o COBIT 5 pode ser usado para elaborao de um modelo
para governana e gesto de TI da organizao. Nessa ltima verso esto bem definidos
29
os papis fundamentais da alta administrao nas tomadas de decises sobre a TI. O
COBIT 5 baseia-se em cinco princpios bsicos, demonstrados na Figura 2.7.
Conforme colocado por Santos [94], o quinto princpio, que traz explicitamente a
diferenciao entre a governana e a gesto refletido diretamente no modelo de refe-
rncia dos processos, que subdivide as prticas e atividades em dois domnios principais:
governana (Analisar, Dirigir e Monitorar ou Evaluate, Direct and Monitor EDM) e
gesto (Planejar, Construir, Executar e Monitorar ou Plan, Build, Run and Monitor
PBRM).
30
Figura 2.9: Modelo de Referncia de processos do COBIT 5
(Adaptado de GETIC [46] e Isaca [56])
1 Alinhar, Planejar e Organizar (Align, Plan and Organise APO): Esse domnio diz
respeito identificao de como a TI pode contribuir com os objetivos de negcio.
Processos especficos do domnio APO esto relacionados com a estratgia e tticas
de TI, arquitetura corporativa, inovao e gerenciamento de portflio, oramento,
qualidade, riscos e segurana. Contm 13 processos (GAEA) [44];
31
incidentes, assim como o gerenciamento de problemas, continuidade, servios de
segurana e controle de processos de negcio. Contm 6 processos (GAEA) [44];
4 Monitorar, Analisar e Avaliar (Monitor, Evaluate and Assess MEA): Visa moni-
torar o desempenho dos processos de TI, avaliando a conformidade com os objetivos
e com os requisitos externos. Contm 3 processos (GAEA) [44].
1 Identificao do Processo
1.1 Label do processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero
do processo;
1.2 Nome do Processo: breve descrio do processo;
1.3 rea do Processo: governana ou gesto;
1.4 Nome de domnio;
32
2 Descrio - uma viso do que o processo faz e como o processo alcana seu prop-
sito;
33
alm de proporcionar a incorporao de impactos quantitativos e qualitativos dos riscos
na anlise global do risco.
Diante da complexidade que se tem na priorizao de servios, dada a variedade de
critrios e subjetividade de avaliaes dos clientes desses servios, a metodologia de an-
lise de deciso multicritrio pode ser uma ferramenta til para esse tipo de problema.
Isso corroborado por Soncini [102], o qual destaca que a utilizao de procedimentos
multicritrios permite a anlise de problemas complexos, pois vrios tomadores de deci-
so esto envolvidos na anlise de caractersticas quantitativas e qualitativas de certos
pontos de vistas.
Porm, conforme colocado por Belton e Stewart [11], no h um conceito de um timo
em estrutura multicritrio, e sim uma ferramenta para auxlio tomada de deciso, pois
busca integrar medida subjetiva com julgamento de valor e tornar explcita e gerencivel
a subjetividade.
Saaty [92], ento confirma que o uso de mtodos de anlise multicriterial pode ser
amplo, desde que o problema a ser solucionado inclua a relao de priorizao, atravs
da ordenao das alternativas avaliadas, e distncia entre os desempenhos identificados,
atravs do uso de escalas de valores. Logo, a utilizao desse mtodo pode ser til na
priorizao dos servios de negcio oferecidos pelo rgo estudado, levando em conta os
critrios estabelecidos e a anlise dos clientes desses servios.
Dentre os vrios mtodos de MCDM mais utilizados, Souza [103], destaca o uso do
Multiattribute Utility Theory (MAUT), o Non-Traditional Capital Investment Criteria
(NCIC) e o Analytical Hierarcy Process (AHP), apresentados a seguir.
34
4 Apropriar notas ao desempenho de cada alternativa frente a cada atributo identi-
ficado;
O mtodo MAUT amplamente utilizado, porm recebe algumas crticas dada a pos-
sibilidade de acarretar erros na medida, pois, no confronta diretamente as alternativas
e os critrios em anlise (FINGER)[40].
O mtodo NCIC tem por objetivo avaliar conjuntamente o impacto de critrios com
carter qualitativo e quantitativo, atravs do uso de comparaes pareadas, visando a
anlise de investimentos. Para isso, utiliza-se de critrios do meio empresarial, tais como
Valor Presente Lquido (VPL), Taxa Mnima de Atratividade (TMA) e fluxo de caixa
(SMART, MEGGINSON e GITMAN)[99]. Boucher e Macstravic [14] argumentam que
a ideia desse mtodo encontrar o Valor Presente Lquido Agregado (VPLa) do projeto,
considerando no clculo do valor do projeto o ganho direto e os ganhos indiretos.
Mesmo no sendo to difundido como outros mtodos, como o MAUT, descrito
anteriormente, e o AHP, apresentado a seguir, o NCIC apresenta entre as suas principais
vantagens a capacidade de transformar impactos qualitativos em valores monetrios,
permitindo assim, que a deciso seja tomada em funo do impacto de diferentes critrios
(KIMURA e SUEN)[60].
35
Tabela 2.2: Escores de julgamento no AHP
Escore Julgamento Explicao
1 Igual importncia As duas atividades contribuem igualmente
para o objetivo
3 Diferena moderada A experincia e o julgamento favorecem leve-
mente uma atividade outra
5 Forte diferena A experincia e o julgamento favorecem for-
temente uma atividade outra
7 Diferena muito forte A experincia e o julgamento favorecem for-
temente uma atividade outra. Sua domina-
o de importncia denominada na prtica
9 Extrema diferena A evidncia favorece uma atividade em rela-
o outra com mais alto grau de certeza
02, 04, 06, 08 Escores intermedirios Quando se procura uma condio de compro-
misso entre duas definies
36
(max 1)
IC = (2.2)
(n 1)
max o autovalor mximo da matriz.
Conforme Saaty [92], quanto maior for o RC maior ser a inconsistncia, sendo os
julgamentos considerados aceitveis quando a RC no for maior do que 0,1, e se isto
ocorrer, recomenda-se repetir imediatamente a avaliao ou iniciar uma investigao
mais detalhada. Finalmente, prioriza-se a criticidade de cada combinao causa/critrio,
dentro de uma escala de 0,000 a 1,000.
Assim, o mtodo AHP estruturado por meio de trs passos principais (RAMOS)
[86]:
1 Construo da hierarquia;
2 Definio de prioridades;
3 Verificao de consistncia.
37
[69]; (FAGURY) [36]; (FREITAS) [43]. Para isso, alguns entendimentos so necess-
rios, tais como: identificar quais so os clientes e usurios dos servios (ITSM) [58];
(FAGUNDES)[35]; (PALMA) [82]; (FREITAS) [43] e classificar os servios de TI, haja
vista a composio de servios de suporte e servios de negcio (MAGALHES; PI-
NHEIRO) [69]; (DUMOULIN; FLORES e FINE)[34]; (OGC) [79].
E reconhecendo o GSTI com ativo estratgico, as adoes de recomendaes das boas
prticas relacionadas tornam-se essenciais para a utilizao nos processos organizacionais
do provedor de servios de TI, como por exemplo: ITIL, COBIT e ISO/IEC 20000
(TURBIT) [110]; (MAGALHES; PINHEIRO) [69]; (MANSUR) [70]; (FERREIRA)
[39]; (CESTARI FILHO) [24]; (ISACA) [56]; (FREITAS) [43]. E com vistas melhoria
na qualidade dos servios, por meio da adoo de instrumentos de gesto de nveis de
servios, tais como: Catlogo de Servios de TI, Acordo de Nveis de Servios, Acordo
de Nveis Operacionais e Contratos de Apoio (STURM; MORRIS e JANDER) [105];
(LEOPOLDI; HOWELLS) [66]; (MAGALHES; PINHEIRO) [69]; (DOROW) [33].
Assim, com esse levantamento terico, possvel identificar as principais particulari-
dades que compem a implementao do processo de gerenciamento de servios de TI.
Porm, no contexto desse trabalho, tambm se faz necessria a priorizao dos servios
na viso dos clientes, realizada por meio do mtodo AHP (SAATY) [92], detalhado na
seo 5.6 e a identificao dos riscos que envolvem esses servios priorizados, apresentado
na seo 5.8. Por isso, o prximo captulo apresenta um levantamento terico relacionado
aos aspectos de gesto de riscos, gesto de riscos de TI e gesto de processos.
38
Captulo 3
39
Conforme j visto, a TI deve atender s necessidades do negcio e tambm s normas
e regulamentos externos. Em organizaes com elevado grau de Governana Corporativa,
a Governana de TI tem grande interao com sistemas de controle interno e de gesto de
riscos corporativos (FERNANDES; ABREU) [37]. Segundo esses autores, a Governana
de TI composta por quatro grandes etapas, conforme representado na Figura 3.1.
O ciclo da governana de TI compreende as etapas de alinhamento estratgico; Deci-
so; Compromisso; Priorizao e Alocao de Recursos; Estrutura; Processos; Operaes
e Gesto e Medio do desempenho que so detalhadas a seguir:
40
Figura 3.2: Governana de TI
(Adaptado de Brasil[19])
41
3.1 Conceito de Risco e Risco de TI
O termo risco comeou a ser tratado com mais ateno e profundidade pelas organizaes
a partir dos escndalos ocorridos com as empresas Xerox, Enron e World.com no incio
dos anos 2000. O tema variado e a sua conceituao no segue um padro, conforme
pode ser observado na Tabela 3.1, que mostra um resumo de algumas conceituaes do
termo risco.
Diante dessas definies, possvel afirmar que o risco uma incerteza e esta, na mai-
oria das vezes, tem resultado negativo, sendo necessrio, portanto, que as organizaes
conheam os riscos que podem dificultar o alcance de certos objetivos.
Tomando como referncia agora o risco de TI, Santana [93] destaca que a partir
da criao de novas ameaas, vulnerabilidades e riscos organizacionais, o crescimento
dos ativos de TI introduziu vrios problemas de gerenciamento, requerendo polticas,
tecnologias e competncias organizacionais para gerenci-los.
Risco de TI, na viso de Westerman e Hunter [118] a possibilidade de que algum
evento imprevisto, que envolva falha ou mau uso da TI, ameace um objetivo empresarial.
Os autores complementam que o risco de TI tem o potencial de gerar consequncias co-
42
merciais que afetam um grande nmero de stakeholders e as causas da maioria dos riscos
de TI, decorrem no da tecnologia em si, mas de falhas de superviso e da governana
dos processos em TI.
Conforme a dependncia da rea de TI vai aumentando, as consequncias do risco
de TI aumentam igualmente, pois ela se tornou uma engrenagem fundamental na orga-
nizao. Westerman e Hunter [118] afirmam que a TI se tornou cada vez mais central
para os negcios ao longo dos ltimos anos, porm muitas empresas no ajustaram seus
processos para tomar decises essenciais a respeito dele e dos riscos. Os resultados so
incidentes de risco com trs fatores em comum:
1. eles desenvolvem um prejuzo significativo para partes constituintes dentro
e fora da empresa, em resultado de falha dos sistemas de TI ou dos controles dos
processos de TI;
2. cada vez mais eles envolvem a divulgao pblica, o que resulta em danos
reputao e em um escrutnio regulador. Essa divulgao pblica amplifica as
consequncias do risco de TI, com resultados subsequentes que, por vezes, excedem
em muito os prejuzos econmicos iniciais;
3. eles revelam a no-prestao de contas sobre possveis consequncias comer-
ciais da administrao dos riscos de TI em outras palavras, expem uma falha da
administrao em geral, e no apenas da administrao de TI. (WESTERMAN;
HUNTER [118] p. 6)
Assim, para avaliar e conhecer os riscos que podem ocorrer e afetar os stakeholders,
conforme ressaltado por Westerman e Hunter [118], Magalhes e Pinheiro [69] destacam
a necessidade que a organizao tem de conhecer qual o valor de cada um dos servios
prestados pela organizao e dos servios de TI que suportam os mesmos, ou seja, qual
seria a consequncia no caso da falta das condies de execuo de determinado servio
para o negcio da organizao.
Com o valor do servio identificado, devem ser levantados os meios em que eles
se encontram e delimitados seu escopo de atuao. Este escopo deve focar no que
realmente importante para organizao, pois assim, ser possvel gerenciar os riscos de
uma melhor maneira (MAGALHES; PINHEIRO) [69].
A proposta de Smith [101] tambm baseia-se na importncia da identificao dos
riscos a fim de evitar impacto negativo na organizao. Segundo este autor, o risco
a probabilidade de algum servio de TI, seus componentes, processos e pessoas, gerar
algum impacto negativo na capacidade de negcio da organizao. Ele caracteriza os
riscos de TI da seguinte forma:
43
2 Risco de Realizao de Soluo de Negcio quando os servios de TI no conse-
guem viabilizar novas solues ou servios de negcio;
44
3.2 ABNT NBR ISO 31000:2009 - Gesto de Risco
A Norma ISO 31000:2009 foi elaborada pela Comisso de Estudo Especial de Gesto de
Risco da ABNT, com a finalidade de estabelecer um nmero de princpios que precisam
ser atendidos para tornar a gesto de riscos eficaz, com perspectiva de integrar o processo
de gerenciamento de riscos na governana, estratgia e planejamento, gesto, processos
de reportar dados e resultados, polticas, valores e cultura em toda a organizao, com
uma melhoria continua do stakeholders (ABNT) [4].
Uma das caractersticas chave da norma a incluso do estabelecimento do contexto
como uma atividade no incio deste processo genrico de gesto de risco, com identifi-
cao dos objetivos da organizao, do ambiente existente, suas partes interessadas e a
diversidade de critrios de risco, auxiliando o processo de identificao, avaliao natural
e a complexidade de seus riscos.
Para a ISO 31000:2009, a implantao e manuteno da Norma na gesto dos riscos
possibilitam organizao alguns importantes objetivos e atendem s necessidades de
um bom nmero de partes interessadas, conforme representado na Figura 3.3.
A Figura 3.4 apresenta uma estrutura, na qual pode ser identificada a forma como
ocorrem os relacionamentos entre os princpios da gesto de riscos, estrutura e processo
da Norma.
45
Figura 3.4: Relacionamentos entre os princpios da gesto de riscos, estrutura e processo
(Adaptado de ABNT[4])
A Norma apresenta formas de auxiliar a gerncia dos riscos por intermdio da aplica-
o do processo de gesto de riscos em diferentes nveis e dentro de contextos especficos,
assegurando que a informao sobre os riscos provenientes desse processo seja adequada-
mente reportada e utilizada como base para a tomada de decises e a responsabilizao
em todos os nveis aplicveis, demonstrados na Figura 3.5.
46
De acordo com a Figura 3.5, esses componentes necessrios para gerenciar riscos se
inter-relacionam de maneira interativa. A seguir so expostos com maior detalhamento,
conforme definies de ABNT [4]:
47
3.1 Implementao da estrutura para gerenciar riscos: aps definidos a es-
tratgia e o momento apropriado para implementao da estrutura, que aplique a
poltica e o processo de gesto de riscos aos processos organizacionais, e que atenda
aos requisitos legais e regulatrios.
3.2 Implementao do processo de gesto de riscos: implementao da gesto de
riscos por intermdio de um plano aplicado em todos os nveis e funes pertinentes
da organizao, como parte de suas prticas e processos.
48
Act), sendo retroalimentado durante todo seu ciclo de vida. A seguir esto descritas as
atividades:
49
4 Tratamento de riscos (5.5):
4.1 Generalidade: envolve a seleo de uma ou mais opes para modificar os
riscos e a implementao dessas opes, fornecendo possveis novos controles ou
modificar os existentes;
4.2 Seleo das opes de tratamento de riscos: seleciona a opo mais ade-
quada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforos
de implementao e, de outro, os benefcios decorrentes, relativos a requisitos le-
gais, regulatrios ou quaisquer outros, tais como o da responsabilidade social e o
da proteo do ambiente natural;
4.3 Preparando e implementando planos de tratamento de riscos: a finalidade
documentar como as opes de tratamento escolhidas sero implementadas.
A ABNT NBR ISO/IEC 31000:2009 destaca a anlise de risco como sendo um pro-
cesso de compreender a natureza do risco, como forma de base para a avaliao de riscos
e para as decises sobre o tratamento de risco fundamentado em estimativa. Com base
nisso, Netto [78] ressalta que a aplicao dos conceitos da norma pode aumentar as chan-
ces de atingir os objetivos e encorajar uma gesto proativa, melhorando a identificao
de oportunidades e ameaas.
Para a norma, a identificao de riscos, fator essencial para a anlise, pode envolver
dados histricos, anlise tericas, opinies de pessoas informadas e especialistas e as ne-
cessidades das partes interessadas. Como subsdios e apoio ISO 31000:2009 destacam-se
o a ABNT NBR ISO Guia 73, que fornece o vocabulrio bsico sobre os termos e con-
ceitos de GR e a ABNT NBR ISO 31010:2012, descrita com maiores detalhes na seo
seguinte.
50
de Estudos Especial de Gesto de Riscos da ABNT, fundamentada em contedo tcnico
e estrutura idntica do Tecnical Committe Dependability (IEC/TC 56) em conjunto com
ISO TMB Risk management, conforme ISO/IEC Guide 21-1:2005 (ABNT) [5].
Diferente da ISO 31000:2009, que fornece um framework com passos a serem seguidos,
a Norma ISO 31010:2012, dispe de ferramentas que podero ser utilizadas fundamen-
tadas nas melhores prticas, com tcnicas especficas de anlise de risco, detalhando
mtodos de aplicabilidade, a exemplo do uso da tcnica de Entrevista na fase de identi-
ficao do risco, bem como da tcnica de Anlise Multicritrio (MCDA) com aplicao
de questionrios.
51
Segundo a ISO 31010:2012, as tcnicas podem ser aplicadas para cada etapa do
processo de identificao de riscos, anlise de riscos (consequncia, estimativa, semi-
quantitativa ou quantitativa da probabilidade e avaliao da eficcia de quaisquer con-
troles existentes) e avaliao de riscos. A Figura 3.7 apresenta os vrios tipos de tcnicas
e ferramentas indicadas pela ISO 31010:2012 para o processo de avaliao de riscos, com
as classificaes Fortemente Aplicvel (FA), Aplicvel (A) ou No Aplicvel (NA) para
cada fase do processo.
A aplicao de determinadas tcnicas, sejam combinadas ou no com outras, poder
prover uma identificao de riscos cada vez mais aprimorada (NETTO) [78]. As sees
seguintes apresentam as ferramentas utilizadas na pesquisa, considerando as etapas de
identificao, anlise, avaliao e tratamento dos riscos, visando a elaborao do Plano
de Gesto de Risco dos servios de TI priorizados.
52
Essa Norma ainda ressalta que o conjunto pertinente de perguntas criado para
orientar o entrevistador. Convm que as perguntas sejam abertas sempre que possvel,
que sejam simples, em linguagem apropriada para o entrevistado e que abranjam somente
uma questo de cada vez. Convm que as respostas sejam consideradas com um certo
grau de flexibilidade, a fim de dar a oportunidade ao entrevistado de explorar as reas
que desejar.
Nesta fase, pde-se utilizar o Diagrama de Afinidade, que uma ferramenta gerencial
da qualidade, com o propsito de solucionar problemas atravs da coleta de dados verbais
de forma desordenada, porm analisando-os por sua afinidade mtua (MIZUNO) [75].
De acordo com Toledo [108] o diagrama de afinidades a representao grfica de
grupos de dados verbais que guardam entre si uma relao natural que os distingue dos
demais. Assim, neste trabalho, o diagrama de afinidades foi aplicado para agrupar os
riscos de acordo com sua dimenso, separando-os entre Riscos que envolvam Pessoal
(Recursos Humanos que envolvem a execuo dos servios), Tcnico (aspectos tcnicos
que compem o servio) ou Operacional (relacionados aos processos).
A pesquisa utilizou as tcnicas de Entrevista semi-estruturada e Diagrama de afini-
dades na fase de identificao de riscos, em que so apresentadas as vises dos envolvidos
visando a identificao e a composio de itens para a prxima fase de Anlise de riscos.
53
riscos necessitam primeiro de tratamento, ou quais riscos necessitam ser referidos a um
nvel mais alto de gesto. Tambm pode ser utilizada para selecionar quais riscos no
precisam de maior considerao neste momento (ABNT) [5].
O WBS [116] destaca que essa matriz pode ser construda de forma a associar os ris-
cos classificados, do tipo, muito alta, alta, moderada, baixa e muito baixa aos riscos ou
condies baseadas na combinao de escalas de probabilidade e impactos. A classifica-
o de risco obtida usando uma matriz e escala de risco e essa escala de probabilidade
de risco naturalmente fica entre 0,0 (nenhuma probabilidade) e 1,0 (certeza). J a es-
cala de impacto de risco reflete a severidade do seu efeito e esse pode ser classificado
por ordem, tal como muito alta, alta, moderada, baixa e muito baixa, designadas por
valores, tais como, 1, 2, 3, 4, 5.
A matriz determinada a partir da multiplicao dos dois valores: o valor da proba-
bilidade do risco pelo valor de seu impacto (cada qual gerado na escala correspondente).
A avaliao da probabilidade e impacto dos riscos costuma se dar por meio de tcnicas de
opinio especializada e entrevistas. Alm disso, algumas das ferramentas e tcnicas in-
dicadas no processo de Identificao de Riscos, tais como: o brainstorming e entrevistas,
podem ser empregadas na determinao desses dois fatores (PMI) [84] .
Nesta fase os riscos podem ser filtrados a fim de identificar os riscos mais significativos
ou excluir riscos menos significativos. O objetivo assegurar que os recursos sero
focados sobre os riscos mais importantes para a utilizao na prxima fase de Avaliao
de riscos (ABNT) [5].
54
de uma faixa de fatores com impacto sobre o nvel de risco em uma nica pontuao
numrica para um dado nvel de risco (ABNT) [5].
Como resultado, espera-se uma srie de nmeros (ndices compostos) que se relacio-
nam com uma fonte especfica e que podem ser comparados com ndices desenvolvidos
para outras fontes dentro do mesmo sistema ou que podem ser modelados da mesma
maneira (ABNT) [5].
J a norma NBR ISO/31000:2009 [4], orienta que nessa fase que se deve descrever
as principais caractersticas dos riscos analisados e propor aes para a diminuio do
efeito negativo dos riscos identificados. Nesse aspecto, a NBR ISO/31000:2009 sugere a
identificao dos principais itens que compem o risco, conforme formato adaptado para
esse estudo e apresentado na Tabela 3.2.
Aps a apresentao terica das etapas que compem o processo de avaliao de
riscos, conforme a ABNT [5]; May [74]; Kolb [61] e PMI [84], a prxima seo sintetiza a
abordagem de Westerman e Hunter [118] no que se refere compreenso e administrao
dos riscos de TI, envolvendo pessoas, processos e ativos. Essa abordagem tem sua
55
Tabela 3.2: Proposta de tratamento dos riscos
(Adaptado de ABNT [4])
[Nome do servio]
Plano de Gerenciamento de Riscos
Risco: [Sigla do servio/no hierarquia do risco - no do servio mapeado]
Nome do Risco [nome do risco identificado]
Descrio do Risco [descrio do risco]
Probabilidade (pontuao) [conforme possibilidade de ocorrer]
Impacto (pontuao) [caso ocorra, qual o impacto]
P x I (pontuao) [valor da multiplicao de probabilidade x impacto]
Descrio do Impacto [descrio do impacto no desempenho do servio avali-
ado]
Indicadores [descrio de indicadores do servio relacionados ao
risco]
Medio [descrio dos problemas relacionados ao risco]
Estratgia de Diminuio [descrio de medidas prvias para evitar o risco, con-
forme opes:
1 Modificar o Risco;
2 Reter o Risco;
3 - Evitar o Risco;
4 Compartilhar o Risco ]
Plano de Contingncia [descrio de medidas para mitigar o risco]
56
Figura 3.8: Ciclo bsico da gesto de risco
(Adaptado de Hill [54])
57
Esse entendimento tambm j havia sido levantado por Ferreira; Reis e Pereira [38],
relacionando tal situao necessidade das organizaes apresentarem uma viso hols-
tica. Segundo estes autores a empresa no pode mais ser vista como um conjunto de
departamentos (departamentalizao) que executam atividades isoladas, mas sim como
um conjunto nico, um sistema aberto em contnua interao.
Westerman e Hunter [118] definem que os recursos para a gesto do risco de TI
dependem de trs disciplinas centrais. Essas trabalham juntas de forma coesa para
melhorar o perfil de risco da empresa e mant-lo sob controle, conforme representada
pela Figura 3.9.
Para a identificao dos riscos, os autores sugerem uma relao de perguntas, dividi-
das em perguntas de nvel executivo e operacional, que podero auxiliar os gestores na
superviso e administrao dos riscos de TI.
58
1 O que pode acontecer?
59
Segundo Davenport [29] o processo representado por um conjunto ordenado de
passos que objetiva uma meta especfica e esses processos devem ser medidos individu-
almente em relao a essas metas especficas, de forma a aferir que sua contribuio
efetiva para o cumprimento do objetivo geral do negcio.
Nessa mesma linha, Hunt [55] define processo como sendo uma srie de passos para
a produo de um produto ou servio. O autor ainda ressalta que o processo pode ser
visto como uma cadeia de valores, na qual, em cada passo, adicionado valor ao passo
seguinte, contribuindo para a criao ou entrega do produto ou servio.
Oliveira [81] ainda define processo como sendo um conjunto de aes ordenadas
e integradas para um fim produtivo especfico, ao qual no final, gerar produtos e/ou
servios e/ou informaes. Compartilhando essa mesma definio, Magalhes e Pinheiro
[69], destacam em sua obra voltada a processos de TI que um processo uma srie de
aes, atividades, mudanas que interagem e so realizadas por agentes com o objetivo
de satisfazer um propsito ou alcanar uma meta. Conforme esses autores, os processos
podem ser mais detalhados ao nvel descrito abaixo:
Cada processo tem entradas e sadas, definindo o que necessita ser feito para atingir
seus objetivos;
Para cada processo deve existir um responsvel ou proprietrio que responde pela
definio do processo;
Cada processo pode ser dividido em uma srie de tarefas, onde cada uma ser
executada por um participante do processo, podendo ser uma pessoa fsica ou uma
etapa automatizada;
Cada processo individualmente mais bem gerido do que um processo global para
todas as atividades de uma rea TI;
60
Os processos abrangem o que necessrio fazer, enquanto os procedimentos cobrem
como deve ser feito.
61
namento e avaliao de desempenho reforam a orientao para os resultados dos
processos;
Hammer [51] ainda faz uma importante ressalva na questo da dependncia da organi-
zao em relao a um grupo pequeno de pessoas que detm conhecimentos considerados
essenciais. Segundo o autor, a criao de um processo estruturado faz com que as empre-
sas se tornem menos dependentes de pequenos grupos de pessoas talentosas, que acabam
se tornando indispensveis. As empresas que so dependentes de heris podem estar
em apuros quando, repentinamente, eles partem. Entretanto, se o processo permanece
na empresa, pessoas podem sair e outras podem usar o processo que foi desenvolvido.
Chiavenato [25], considerando que na maioria das organizaes os processos so ins-
titucionalizados e reconhecidos, afirma que:
Diante do que foi exposto, processo pode ser entendido como a maneira de se fazer
alguma coisa. Envolve a transformao de um insumo em produto final. Tambm
pode ser entendido como o conjunto de atividades, logicamente inter-relacionadas, que
envolvem pessoas, equipamentos, procedimentos e informaes, que quando executadas
agregam valor ao negcio. Nas prximas sees sero descritos os outros aspectos que
envolvem a orientaes para gesto por processos e sobre a importncia da melhoria de
processos na organizao.
62
3.5.2 Anlise e Melhoria de Processos
Melhorar os processos da organizao fator crtico para o sucesso institucional de qual-
quer organizao, seja pblica ou privada, desde que realizada de forma sistematizada e
que seja entendida por todos na organizao. O grande objetivo de realizar a melhoria
de processos agregar valor aos produtos e aos servios que as organizaes prestam
aos seus clientes, principalmente as organizaes pblicas, onde os recursos so cada vez
mais escassos e as demandas cada vez mais crescentes (SCARTEZINI) [96].
Martins [73] destaca que a anlise e a melhoria de processo apresentam um conjunto
de mtodos, ferramentas e sequncia de aes que podem ser aplicados a processos de
qualquer rea de conhecimento. Tais mtodos permitem priorizar problemas, elencar
suas causas e buscar solues.
No conjunto de recomendaes contidas no Programa de Excelncia Gerencial do
Exrcito Brasileiro so descritos os passos necessrios para posterior implantao do
plano de melhoria de processo, os quais esto descritos abaixo (BRASIL)[15]:
63
Isso, na viso de Schedlbauer [97] importante, pois modelos devem ser criados de uma
perspectiva particular e no devem ser misturados estes estados (atual e futuro).
2 Mtricas apropriadas e suficientes para estabelecer uma base para futuras medidas
de melhorias de processos;
5 Identificao dos itens mais significativos e de rpido retorno, que podem ser fa-
cilmente implementados;
64
Modelagem do Estado Atual (AS - IS) - Mapeamento
Mapa de Relacionamento;
Fluxograma.
65
e os processos caminham no sentido horizontal. A Figura 3.10 mostra um exemplo da
forma de desenhar este tipo de processo.
Martins [73] destaca que a vantagem do uso desse instrumento que ele possibilita
mostrar o processo como um todo e os passos relacionados, as entradas e os respectivos
responsveis por cada etapa.
O TCU [106] define trs possibilidades de usos para o mapeamento de processos na
rea de TI:
66
Neste sentido, Vom Brocke, et al [115], citam algumas atividades que compreendem
as prticas gerenciais de BPM e que auxiliam na modelagem dos processos, visando
o conhecimento da organizao ou de um servios especfico, so elas: planejamento,
anlise, desenho, implementao, monitoramento e refinamento. Para o contexto dessa
pesquisa foi utilizado o Mapeamento Descritivo com a utilizao de notao especfica da
metodologia BPM, denominada BPMN, do ingls Business Process Model and Notation
.
Ressalta-se que nessa pesquisa, por limitao de tempo, no foi realizada a etapa de
medio, contida na etapa de monitoramento. Porm, com a identificao da situao
atual (As-Is) foi possvel refletir sobre as oportunidades de melhoria, gerando a situao
desejada do processo (To-Be).
Reforando as ideias acima, o TCU [106], alerta que para realizar o mapeamento
dos processos necessria uma metodologia e a escolha de pelo menos uma notao e
uma ferramenta. A metodologia corresponde ao conjunto de conceitos e mtodos para
fazer o mapeamento e o redesenho dos processos. As notaes so as linguagens de
notao grfica especfica onde os modelos so representados por diagramas grficos. E
as ferramentas so um meio que facilitam o desenho e o armazenamento dos modelos.
grande a variedade de mtodos e ferramentas que auxiliam a anlise, o mapea-
mento e a melhoria de processos. Segundo Barbar [9], ferramentas em verses mais
sofisticadas, conseguem reproduzir o comportamento do negcio, seus processos e suas
atividades, propiciando aes de anlise e simulao. Elas servem para automatizar as
aes de gesto de processos compreendendo modelagem, anlise, simulao, manuten-
o e disseminao da estrutura do negcio.
Dentre a variedade que existe, destacamos nessa pesquisa as ferramentas BizAgi
Modeler. O BizAgi uma ferramenta focada exclusivamente no BPM para criao
de fluxogramas, mapas mentais e diagramas em geral. Ela permite que os usurios
visualizem, estruturem e monitorem os fluxos de matrias-primas e de informaes, bem
como as relaes existentes entre todas as etapas do processo (CABRAL e GIOMO)
[21].
Campos e Lima [22] ressaltam a facilidade do BizAgi na automao de processos de
negcio. Esses autores destacam os seguintes pontos fortes dessa ferramenta:
Ser gratuito e possuir plena compatibilidade com os diversos sistemas operacionais
e poder ser distribudo para os diversos setores da organizao;
67
Dentro da base de dados dos processos, podem-se criar visualizaes de outras
bases de dados.
4 Modelos de simulao;
7 Relatrio das diferenas que precisam ser atendidas para o cumprimento dos re-
quisitos;
68
Na segunda fase os processos escolhidos passaram por anlise para identificar as
causas dos problemas;
69
Nessa pesquisa considerou-se a utilizao das tcnicas de entrevista semi-estruturada,
pesquisas junto aos usurios e avaliao de riscos como ferramentas de apoio para o
redesenho dos processos crticos do rgo estudado. Alm disso, tambm foram utilizadas
recomendaes da ITIL V3 e COBIT 5 como balizadores para o redesenho dos processos.
O presente captulo abordou as prinicipais caractersticas do processo de gesto de
risco e sua aplicabilidade no processo de GSTI. Tambm foram apresentadas as principais
consideraes a respeito de processos, envolvendo as questes de anlise, mapeamento,
redesenho e melhoria dos processos. No entendimento deste autor, os conceitos apresen-
tados so fundamentais para o entendimento do estudo de caso apresentado no Captulo
5, o qual detalha as particularidades do rgo estudado levando em conta a anlise dos
processos priorizados e, principalmente, a proposta de melhoria e estruturao de GSTI
do rgo, apresentada no Captulo 6.
O prximo captulo apresenta a metodologia de pesquisa utilizada nesse trabalho.
70
Captulo 4
Metodologia da Pesquisa
71
Figura 4.1: Metodologia de Pesquisa
especficos, que neste caso, foi a proposta de implementao de uma estrutura de GSTI
no CPD/UnB (MARCONI; LAKATOS) [71] e (SILVA; MENEZES) [98].
Quanto aos objetivos, pode ser classificada como descritiva e exploratria. Descri-
tiva, pois descreve as caractersticas de uma populao, que no caso so os atores que
responderam aos questionrios de priorizao dos servios de TI e avaliaram a quali-
dade destes servios, conforme suas expectativas e percepes. Tambm exploratria,
pois foram utilizados levantamentos bibliogrficos, normas, recomendaes, exemplos
prticos e entrevistas na formulao da ideia principal (SILVA; MENEZES) [98].
Quanto estratgia da pesquisa, utilizou-se o mtodo de Estudo de Caso, pois envol-
veu o estudo profundo do objeto em questo, o rgo de TI da Universidade de Braslia,
a fim de detalhar o conhecimento adquirido durante a pesquisa (GIL) [47].
Para a coleta de dados e informaes relevantes, utilizou entrevistas estruturadas por
meio de questionrios aplicados aos clientes de TI. Esses questionrios foram construdos
de forma que a mesma pergunta seja respondida pelas pessoas pesquisadas (GIL) [47].
72
4.2 Estruturao da Pesquisa
Visando o alcance dos objetivos definidos para a presente pesquisa, dividiu-se o processo
de elaborao em trs grandes etapas: Preparao, Construo, Coleta e Anlise dos
Dados. Cada etapa foi composta por atividades desenvolvidas, tanto de forma sequencial
como paralela a outras, conforme demonstrado no item 4.2.2 (Construo da Pesquisa).
Essa atividade envolveu a participao dos gestores de cada rea de servio do rgo. A
coleta das informaes necessrias para essa atividade baseou-se nas definies de Servi-
os de TI, conforme a ITIL V.3 e DuMoulin; Flores e Fine [34]. Tendo como referncia a
divulgao dos servios de TI pelo rgo atravs de sua pgina institucional na Internet,
foi encaminhado aos gestores, um questionrio para a classificar os servios prestados em
Servios de Negcio e Servios de Suporte, de acordo com seus entendimentos e as defi-
nies provenientes da literatura. O modelo do questionrio encaminhado aos gestores
encontra-se no Apndice B.
73
Figura 4.2: Estrutura das atividades desenvolvidas na pesquisa
74
do questionrio aplicado encontra-se no Apndice C.
Para essas atividades foram necessrios estudos relacionados a Anlise e Melhoria dos
Processos dos servios priorizados. Para o desenvolvimento, foi necessria novamente a
participao dos gestores de TI do rgo, responsveis pelos dois servios. Os detalhes
do desenvolvimento desta atividade est contida na seo 5.7.
Esta atividade foi desenvolvida logo aps a consolidao dos dados das pesquisas. Para
essa atividade foi utilizado todo o arcabouo terico de Gesto de Risco referencia-
dos neste trabalho: Norma ABNT NBR ISO/IEC 31000:2009 [4], Norma ABNT NBR
ISO/IEC 31010:2012 [5] e Westerman e Hunter [118]. Como resultado, gerou-se o le-
vantamento dos principais riscos dos processos crticos do rgo. Maiores detalhes desse
resultado encontram-se na seo 5.8.
1 Coleta dos Dados: Essa atividade teve por objetivo submeter os questionrios
de pesquisa aos gestores de TI e gestores de outros departamentos, considerados
clientes de TI. No caso dos gestores de TI e gestores de outros departamentos
foram realizadas reunies com os participantes, relatando os objetivos da pesquisa
e orientando seu acesso e preenchimento.
2 Anlise dos Dados: Nessa etapa foram desenvolvidas as atividades de anlise dos
dados das pesquisas aplicadas e com base nestas e no referencial terico, nas normas
e recomendaes estudadas, foi proposto um redesenho dos processos considerados
crticos, bem como a adoo de documentos relacionados aos planos de gesto de
risco, do catlogo de servios, do acordo de nvel de servios e da documentao
de processos. Como resultado, apresentada uma proposta de implementao do
Gerenciamento de Servios de TI utilizando como modelo os dois servios prioriza-
dos e adequando as principais recomendaes dos frameworks ITIL V.3 e COBIT
5 relacionadas gesto de servios de TI.
75
Etapa 6 - Redesenho dos processos (To-Be)
A atividade de redesenho dos processos deu-se logo aps a anlise dos riscos e coleta
anlise dos dados. Esse redesenho tambm considerado uma forma de tratamento dos
riscos identificados anteriormente. O resultado dessa atividade est contido na seo
6.1.4.
Essa atividade foi desenvolvida com o resultado dos mapeamentos dos processos e a
anlise dos riscos que os envolvem. Tambm so considerados os referenciais tericos
utilizados e, com base nisso, prope-se a elaborao de um conjunto de documentos de
referncia para auxiliar no gerenciamento dos servios do rgo estudado. O Captulo 6
detalha a estrutura proposta.
Universo da pesquisa
76
O prximo captulo apresenta os detalhes do estudo de caso, considerando a con-
textualizao em qual o rgo pesquisado est inserido e os resultados das pesquisas
aplicadas.
77
Captulo 5
O Estudo de Caso
Este captulo descreve o cenrio do rgo estudado, partindo de sua situao perante
as outras instituies do mesmo ramo da Administrao Pblica Federal APF, e con-
cluindo com a descrio do seu ambiente interno, por meio da anlise dos servios priori-
zados nesse estudo. Neste captulo tambm so apresentados os resultados das pesquisas
aplicadas, a anlise dos processos e de seus riscos.
78
identificou-se o nvel de aderncia s boas prticas, o que possibilitou a definio dos
seguintes limiares:
79
Figura 5.1: Estrutura do questionrio do levantamento perfil iGovTI2012
(Adaptado de Brasil [18])
80
Figura 5.2: Avaliao controle da gesto de estratgias e planos
(Adaptado de Brasil [18])
81
Na Figura 5.4 est representada a anlise da dimenso relativa aos controles de gesto
de pessoas. Essa dimenso mostra um bom resultado em relao aos aspectos de gerncia
do pessoal de TI nos rgos pesquisados e composta pelas seguintes avaliaes:
a) Q41 - Controle da gesto prpria de TI, ou seja, o quanto a TI est nas mos de
pessoal do quadro permanente;
d) Q45 - Controle sobre caractersticas do principal dirigente de TI, tais como forma-
o acadmica e experincia;
82
a) Controle sobre os processos de gesto de servios de TI, especificamente aqueles
que visam entregar servios gerenciados com qualidade aceitvel aos clientes;
j) Q510 - controle sobre a atuao dos papis de fiscal e gestor de contratos, em linha
com a legislao vigente e com as recomendaes do TCU;
83
Figura 5.5: Avaliao controle da gesto de processos de TI
(Adaptado de Brasil [18])
Os dados de 2012 apresentam uma evoluo em relao aos do ano de 2010, sendo
84
que o processo que apresentou o melhor resultado foi o de gesto de incidentes. Esse
processo contempla todos os eventos que possam tornar os servios de TI indisponveis.
Tambm foram avaliados em maiores detalhes os processos de gesto dos nveis de
servios prestados aos clientes. A Figura 5.7 apresenta os resultados obtidos, levando
em conta os aspectos que compem o processo de gesto de nveis de servios, em
comparao com o levantamento de 2010.
Como pode ser observada, a situao do nvel de servios de TI oferecido pelos rgos
da APF crtica. Verifica-se que 73% das instituies no possuem catlogo dos servios
de TI oferecidos aos clientes. Outro ponto crtico refere-se ao fato de que 98% dos rgos
pesquisados no estabelecem acordos de nvel de servios (ANS) entre a rea de TI e
as reas clientes, o que impacta negativamente na avaliao e, consequentemente na
qualidade dos servios prestados.
Visando o aperfeioamento dessa questo o TCU, por meio do Acrdo (1.603/2008),
recomenda que os rgos promovam aes voltadas implantao de processos de gesto
de nveis de servios baseados nas boas prticas sobre o tema, visando melhoria da
qualidade dos servios prestados internamente:
85
Mesmo com melhora nos processos de gesto de servios de TI, o cenrio ainda pre-
ocupante, principalmente quando se analisa a gesto de nveis de servios. Assim, Brasil
[18] destaca que o estabelecimento de catlogos de servios de TI e ANS configuram-se
como medidas necessrias para a melhoria da qualidade dos servios prestados.
86
Tabela 5.2: Notas iGovTI 2012 - IFES
RGO IGOVTI 2012 ESTGIO
UTFPR 0,64 APRIMORADO
UFU 0,59 INTERMEDIRIO
UFF 0,57 INTERMEDIRIO
UFT 0,56 INTERMEDIRIO
UFV 0,55 INTERMEDIRIO
UFMT 0,54 INTERMEDIRIO
UNIFAP 0,53 INTERMEDIRIO
UFABC 0,50 INTERMEDIRIO
UFRN 0,50 INTERMEDIRIO
UFBA 0,49 INTERMEDIRIO
UFG 0,47 INTERMEDIRIO
UFS 0,47 INTERMEDIRIO
UFOPA 0,47 INTERMEDIRIO
UFPE 0,44 INTERMEDIRIO
UFOP 0,42 INTERMEDIRIO
UFGD 0,41 INTERMEDIRIO
UFRJ 0,41 INTERMEDIRIO
UFLA 0,39 INICIAL
UNIPAMPA 0,39 INICIAL
UFMG 0,38 INICIAL
UNIFESP 0,37 INICIAL
UFPR 0,37 INICIAL
UFRGS 0,34 INICIAL
UNIFAL-MG 0,34 INICIAL
UFMA 0,33 INICIAL
UFAM 0,33 INICIAL
UFRA 0,32 INICIAL
UFR 0,29 INICIAL
UnB 0,28 INICIAL
UFERSA-RN 0,24 INICIAL
UFRPE 0,24 INICIAL
UFC 0,23 INICIAL
UNIVASF 0,21 INICIAL
restante, ou seja, 16 das que divulgaram as notas esto no estgio Inicial de governana
de TI, conforme metodologia utilizada pelo TCU.
A prxima seo apresenta os resultados do iGovTI da instituio objeto de estudo
e um comparativo com outras IFES no que se refere aos processos de gesto de TI.
87
5.2 Cenrio da Tecnologia da Informao do rgo
junto ao Tribunal de Contas da Unio
Para fins de anlise da situao da TI do rgo estudado, so utilizados como parmetros,
alguns resultados das anlises de governana de TI dos anos de 2010 e 2012 do iGovTI,
realizado pelo TCU, especificamente os aspectos relacionados gesto de TI, os quais o
rgo atua diretamente.
Considerando a situao da instituio (Instituio de Federal de Ensino Superior
- IFES) no contexto geral, envolvendo os aspectos de governana e de gesto de TI, a
Figura 5.8 mostra os resultados consolidados nas duas ltimas avaliaes. Como pode
ser observado, o ltimo resultado (iGovTI 2012) apresenta um retrocesso em relao ao
anterior.
88
iGovTI 2010) caiu para uma situao Inicial (0,28 iGovTI 2012), contrariando a
tendncia de melhora do ndice apresentada pelas demais instituies.
Tendo agora como base somente os aspectos relacionados aos processos de gesto de
servios de TI, a Figura 5.9 destaca os resultados do rgo comparativamente com as
outras IFES, com as instituies pertencentes ao Sistema de Administrao de Recursos
de Informao e Informtica - EXE-Sisp e tambm levando em conta o contexto de todas
as instituies avaliadas naqueles processos, considerando o levantamento do ano de 2012.
Constata-se que vrios processos relacionados aos aspectos de gesto de servios de TI
so inexistentes na instituio pesquisada, conforme resultado consolidado da avaliao
do TCU.
Os resultados, tanto do estudo interno (FUB) [30] como do levantamento do TCU por
meio do iGovTI 2012, mostram a necessidade de utilizao de mtodos que possam con-
tribuir para o fortalecimento e melhoria dos processos do rgo estudado. Nesse sentido,
89
para que se possa sugerir a implementao de uma estrutura aderente s recomendaes
das normas, das boas prticas e das referncias estudadas durante o desenvolvimento
deste estudo, faz-se necessria a identificao de alguns pontos considerados crticos.
Depois de ser contextualizada a situao do rgo de TI perante outros rgos da
APF, as prximas sees descrevem o ambiente de TI gerenciado pelo rgo estudado.
90
Para atender aos objetivos estratgicos definidos, o CPD/UnB desenvolve as ativi-
dades descritas abaixo. Essas atividades so as responsveis pela oferta de servios e
infraestrutura aos clientes e usurios de TI da instituio, conforme descrio contida
na pgina institucional do rgo.
91
Para a plena prestao dos servios de TI em nvel institucional, o CPD/UnB tem
sua estrutura organizacional conforme apresentada na Figura 5.11. Essa estrutura
utilizada extraoficialmente, pois a estrutura oficial contida no ltimo regimento interno
aprovado, no ano de 1996, no reflete as reais atividades desenvolvidas, haja vista a
incorporao de novos servios ao longo do tempo.
Para efeito de comparao, a Figura 5.12 apresenta a ltima estrutura organizacional
do centro aprovada pela alta administrao.
92
universitria e da administrao superior quanto qualidade dos servios de TI na uni-
versidade possibilitando a sua modernizao (FUB) [30].
Alm disso, constatou-se a forma fragmentada em que se gere a TI na universidade,
ou seja, de acordo com FUB [30], a gesto de TI na Universidade implementada de
forma fragmentada, com considervel ausncia de coordenao entre as trs unidades
diretamente responsveis (CPD, PRC e CME). Com isso, o usurio tem que recorrer a
diferentes Unidades para resolver problemas relativos TI.
Nesse caso, para aes de melhoria no GSTI, sugere-se que essas outras duas unida-
des, PRC Prefeitura do Campus e CME Centro de Manuteno de Equipamentos,
sejam reconhecidas como fornecedores internos para o provedor de servio de TI institu-
cional. Com essa definio, a relao entre essas trs reas pode ser gerida por Acordos
de Nvel Operacional ANO.
A Figura 5.13 representa o relacionamento entre as reas estratgicas da instituio
levando em conta a constatao da pesquisa Gesto de Meios em relao rea de Gesto
de TI.
93
b) Implantar um sistema de aferio, controle de qualidade e de satisfao do usurio;
d) Reestruturar o Centro de Informtica para que este passe a ter vinculao hierr-
quica aos rgos da Administrao Central, contando com estrutura organizacional
mais slida composta por diretorias;
e) Conceder maior autonomia oramentria ao CPD, que passaria a ter recursos fi-
nanceiros programados para investimento na rea de TI.
94
Figura 5.14: reas e respectivos servios prestados pelo CPD/UnB
95
Figura 5.15: Descrio do servio Antivrus
96
Alguns servios foram includos e/ou reformulados, conforme ilustrado na Figura
5.16. Aps os ajustes nas descries e documentaes dos servios foi possvel elencar
os servios atuais e, com base nessa informao, utilizaram-se as recomendaes de
Dumoulin; Flores e Fine [34] para classific-los conforme a viso de servios de negcio
e servios de suporte. Para isso, foi aplicada uma pesquisa com os gestores das reas
de servios do rgo para que esses indicassem, conforme a definio dos autores, qual
a classificao dos servios elencados anteriormente. A escolha dos entrevistados teve
como critrios a condio de ser gestor das reas de servios e a posio estratgica que
ocupa no rgo. Deste modo, as funes selecionadas para essa etapa foram:
97
Nessa etapa, foi utilizado o questionrio contido no Apndice B. A Figura 5.17 mostra
o resultado dessa classificao aps a anlise dos gestores do CPD/UnB, utilizando-se
das definies de Dumoulin, Flores e Fine [34] e ITIL V.3.
O resultado dessa classificao foi utilizado como subsdio na prxima etapa, na qual
os clientes do rgo de TI classificaram conforme a criticidade, quais so os servios de
negcio mais importantes. Os detalhes dessa pesquisa esto descritos na seo seguinte.
98
Tabela 5.3: Descrio das raes de negcio da Instituio
Identificao Finalidade
rea de Negcio 01 - Responsvel pela coordenao e execuo dos processos re-
AN01 lativos aos atos financeiros e contbeis, gesto do patrim-
nio, compras nacionais e importao, o controle e acompa-
nhamento de contratos e convnios e instrumentos similares
relativos a projetos acadmicos
rea de Negcio 02 - Responsvel pelo desenvolvimento, coordenao e acompa-
AN02 nhamento do processo de planejamento, oramento e gesto
da informao da instituio
rea de Negcio 03 - Responsvel pela gesto, desenvolvimento e potencializao
AN03 de pessoas contribuindo para a busca permanente da exceln-
cia, sade, segurana e qualidade de vida no trabalho
rea de Negcio 04 - Responsvel pela padronizao, orientao, anlise, execuo
AN04 e controle das atividades relacionadas com contrataes de
servios, inclusive de publicidade, compras, alienaes, con-
cesses, permisses e locaes
99
a) construo de hierarquias;
c) consistncia lgica.
100
atravs da combinao dos julgamentos de todos os especialistas, utilizando-se o mdulo
de clculo disponvel no software.
101
Figura 5.20: Resultado dos servios priorizados
102
Figura 5.21: Resultado consolidado dos julgamentos dos critrios
103
Figura 5.22: Matriz SIPOC do processo de redes e conectividade
Essa representao grfica foi utilizada para compreender o processo de forma deta-
lhada. As Figuras 5.24 e 5.25 mostram a situao atual (As-Is) dos processos de Redes
e Conectividade e de Atendimento ao Usurio.
104
Figura 5.24: Diagrama do processo de Redes e Conectividade - viso As-Is
105
Figura 5.25: Diagrama do processo de Atendimento ao Usurio - viso As-Is
106
Com base nas informaes dos gestores dos processos e nos diagramas elaborados
realizou-se as anlises das atividades dos processos, conforme apresentadas nas Figuras
5.26 e 5.27, os quais mostram as atividades que agregam valor, as que no agregam, mas
so necessrias e as que no agregam qualquer valor.
Esse levantamento tem como objetivo auxiliar na fase de redesenho dos processos,
pois identifica as atividades essenciais e indispensveis ao processo. Por outro lado, as
atividades que no agregam valor sero suprimidas na proposta de redesenho dos proces-
sos. Isso foi devidamente validado junto aos gestores que participaram do levantamento.
Alm disso, tambm so considerados no redesenho dos processos o levantamento
de seus riscos, conforme a experincia dos gestores envolvidos nos processos. Para isso,
107
foram utilizadas as ferramentas indicadas pela ABNT NBR ISO 31010 para as fases de
identificao, anlise e avaliao de riscos, detalhadas na prxima seo.
108
Na entrevista com os gestores foi realizada uma anlise de percepo de risco com base
em suas experincias. A cada entrevistado foi perguntado quais os principais riscos que
o processo em questo estava sujeito, com base nas questes sugeridas por Westerman
e Hunter [118] e apresentadas nas Figuras 5.28 e 5.29.
Aps essa identificao, as respostas foram compiladas e como resultados foram iden-
tificados os riscos apresentados por meio de um Diagrama de Afinidades. Para a cons-
truo desses diagramas seguiu-se os seguintes procedimentos:
1 Preparao de uma equipe composta pelos gestores dos servios, equipe de apoio
(alunos de graduao da disciplina PSP 5, do curso de Engenharia de Produo da
UnB) e o autor dessa pesquisa, a fim de levantar os riscos por meio da utilizao
da tcnica de Brainstorming;
2 Definio do tema principal relacionado aos riscos levantados. Definiu-se como foco
principal a identificao e classificao dos riscos nas dimenses: Risco Tcnico
(aspectos tcnicos que compem o servio), Risco Pessoal (recursos humanos que
envolvem a execuo dos servios), Risco Operacional (relacionados aos processos);
3 Alocao dos riscos identificados aos temas propostos, primeiramente para o pro-
cesso de Redes e Conectividade e posteriormente ao de Atendimento ao Usurio;
109
4 Anotao de todas as ideias e opinies obtidas pelos participantes e posterior
consolidao;
A representao para cada processo est consolidada e apresentadas nas Figuras 5.30
e 5.31.
Esse agrupamento dos riscos conforme a sua dimenso, classificada por riscos tc-
nicos, pessoal e operacional, auxiliam na anlise dos riscos envolvidos, pois as aes
podero ser pontuais em determinada dimenso. No caso dessa pesquisa, os esforos
foram direcionados aos riscos operacionais, dado o impacto que essa dimenso causa na
execuo dos processos.
Aps a identificao dos riscos, a prxima etapa se concentra na anlise dos riscos dos
processos a fim de mensurar o impacto nos processos, considerando ainda as dimenses
identificadas.
110
Figura 5.31: Diagrama de afinidades para riscos - Atendimento ao Usurio
Para calcular o impacto dos riscos, caso esses ocorram, os mesmos gestores atribu-
ram notas conforme a Tabela 5.5, que avalia o grau de impacto de determinado risco,
variando de 1 a 5, sendo 1 para impacto muito pequeno e 5 para impacto muito grande
- catastrfico.
111
Tabela 5.5: Referncia para Avaliao do Impacto
GRAU DE IMPACTO VALOR
MUITO GRANDE CATASTRFICO 5
GRANDE ELEVADO 4
MODERADO 3
PEQUENO MNIMO 2
MUITO PEQUENO - INSIGNIFICANTE 1
Com a identificao dos riscos obtidos pelo Diagrama de Afinidades, conforme mos-
trado no subitem 6.9.1, os gestores passaram a realizar a anlise desses levando em
conta a probabilidade dos riscos identificados ocorrerem, e, caso ocorram, pontuaram
tambm o impacto causado dado o conhecimento que os entrevistados tm do processo
e do impacto que esses podem ocasionar para a Instituio.
Os resultados da anlise so mostrados nas Figuras 5.33 e 5.34, respectivamente, para
os processos de Redes e Conectividade e Atendimento ao Usurio, conforme a matriz de
probabilidade x impacto.
112
A Figura 5.33 mostra que os riscos operacionais so apontados pelos gestores como as
principais vulnerabilidades, sendo que os mais crticos, dada a probabilidade de acontecer
e alto impacto se ocorrer, so os referentes s ausncias de contrato de manuteno dos
ativos de rede e de monitoramento fora do horrio comercial. Com relao aos riscos
tcnicos, a maior criticidade est relacionada infraestrutura eltrica deficiente. No caso
do risco de pessoal, a ausncia de equipe especializada de planto apontada como risco
mais crtico.
113
Figura 5.34: Matriz de Probabilidade x Impacto do processo de Atendimento ao Usurio
114
Quanto mais alto o nvel, mais ateno e cuidado a organizao deve tomar para mitig-
los ou evit-los.
115
Figura 5.35: Representao dos riscos operacionais Redes e Conectividade
116
Tabela 5.9: Principais Riscos Operacionais
Risco Priorizado Probabilidade X Im- Processo
pacto - Risco Operacio-
nal
Ausncia de contrato de manu- 21% Redes e Conectividade
teno dos ativos de rede
Ausncia de SLAs (Nveis de 29% Atendimento ao Usu-
Atendimentos) rio
1 - Modificao do Risco;
2 - Reteno do Risco;
3 - Evitar o Risco;
4 - Compartilhamento do Risco.
117
A fim de documentar a implementao de um Plano de Gesto de Risco, a Figura 5.37
apresenta o formato adotado com base nas recomendaes da norma ABNT NBR ISO
31000. Esse modelo possibilitar um entendimento mais claro em relao categorizao,
avaliao e s medidas de contingncia do risco identificado.
Levando em conta as recomendaes das Normas e os riscos priorizados, conforme
mostram as Figuras 5.35 e 5.36, as Figuras 5.38 e 5.39 apresentam o modelo de trata-
mento de risco proposto e implementado, conforme a anlise e avaliao dos gestores
envolvidos nesse trabalho.
A Figura 5.38 representa o modelo de tratamento de risco proposto para o servio
de Redes e Conectividade, classificada com o nmero RC 001-001, onde RC representa a
sigla do processo, os trs primeiros dgitos representam a hierarquia do risco, que neste
caso o primeiro risco de maior ndice na Matriz de Risco do processo, e os trs ltimos
dgitos representam a identificao do processo mapeado, que neste caso o primeiro.
118
Figura 5.39: Plano de gesto de risco processo de Atendimento ao Usurio
os trs ltimos dgitos representam a identificao do processo mapeado, que neste caso
o primeiro relacionado ao servio.
A proposta de tratamento para esses riscos ser sugerida para adoo pelo rgo de
modo a possibilitar que os demais riscos sejam devidamente tratados posteriormente, a
critrio da administrao.
Diante dos resultados at ento obtidos, ou seja, anlise dos processos; identificao,
anlise e avaliao dos riscos dos processos e tratamento, com a elaborao do Plano
de Gesto de Risco para os processos, com base na Norma ABNT NBR ISO 31000, o
captulo seguinte apresenta a proposta composta por um conjunto de documentos que
visa auxiliar tanto no redesenho dos processos, como na mitigao dos riscos.
119
Captulo 6
Proposta de Melhoria e
Estruturao para o GSTI
120
O desenvolvimento da estrutura proposta nesta pesquisa para o GSTI do CPD/UnB
seguiu as seguintes recomendaes:
121
Figura 6.1: Referncia dos documentos para o registro das informaes dos processos de
Redes e Conectividade e de Atendimento ao Usurio
122
Figura 6.2: Representao da Estrutura de Gerenciamento de Servios de TI
123
6.1.1 Documentao do Processo
Para subsidiar o preenchimento do documento foi elaborado um roteiro genrico, baseado
em recomendaes da ITIL V3 e do COBIT 5, que orienta e auxilia na composio do
documento do processo, conforme apresentado no Apndice E.
124
Figura 6.4: Documentao de referncia do processo de Atendimento ao Usurio
125
Figura 6.5: Plano de Acordo de Nvel de Servios Redes e Conectividade
126
6.1.3 Catlogo de Servios
Da mesma forma, para a elaborao do Catlogo de Servio, e conforme recomendaes
da ITIL V3 e de Magalhes e Pinheiro [69], foi elaborado um guia que orienta a respeito
da implementao do Catlogo de Servios do rgo pesquisado, apresentado no Apn-
dice G. Esse documento orienta a respeito da criao do catlogo a fim de promover
visibilidade aos usurios quanto aos servios prestados e servir de base para publicidade
da contribuio da rea de TI para a Instituio.
As Figuras 6.7 e 6.8 apresentam a aplicao das recomendaes do guia nos processos
de Redes e Conectividade e de Atendimento ao Usurio quanto aplicabilidade do
Catlogo de Servios de TI do rgo.
127
Figura 6.8: Catlogo de Servio Atendimento ao Usurio
por meio destes, os usurios podero obter as principais informaes dos servios do
CPD/UnB.
A construo do catlogo e do acordo de nvel de servios, conforme apresentado
anteriormente, foi subsidiado pelo amplo estudo das condies atuais dos dois servios
priorizados, levando em conta a anlise dos riscos que os envolvem.
Alm disso, o aprofundamento das referncias relacionadas ao tema de GSTI e de
gesto de riscos, descritas ao longo dessa pesquisa, possibilitou tambm o redesenho dos
processos priorizados, os quais so apresentados na seo seguinte.
128
Figura 6.9: Diagrama do processo de Redes e Conectividade viso TO-BE
129
Figura 6.10: Diagrama do processo de Atendimento ao Usurio viso TO-BE
130
Figura 6.11: Representao subprocesso de soluo de chamado
131
dos documentos em boas prticas por meio de interface grfica de modo a facilitar a
gesto das informaes e dos processos de trabalho do rgo.
132
7 - Gerenciamento de Liberao e Implementao (REL =Release & Deployment Ma-
nagement );
133
Captulo 7
Consideraes Finais
134
junto aos clientes de TI, para que esses classificassem, dada a criticidade para o de-
sempenho de suas atividades, quais so os servios de negcio mais importantes. Como
resultado, obteve-se a priorizao dos servios prestados pelo rgo na viso dos clien-
tes. E com isso, foi possvel identificar quais os servios mais crticos e utiliz-los como
referncias para as prximas etapas do trabalho. Nessa etapa foi utilizada a metodologia
de deciso multicritrio.
Aps esses estudos, passou-se contextualizao da situao dos processos relacio-
nados. Realizou-se a identificao e caracterizao dos processos utilizando ferramentas
da qualidade para mapear a situao atual dos processos por meio de seus fluxogramas
e identificao das atividades que agregam e as que no agregam valor.
Tambm foi aplicado o processo de anlise dos riscos dos servios, conforme Norma
ABNT 31000:2009, composto pela identificao, anlise, avaliao e tratamento dos
riscos. Isso serviu como subsdio para a proposta de redesenho dos processos, bem como
na composio dos documentos da estrutura de GSTI. Quantos aos riscos desses servios,
constata-se que h alguns pontos crticos que precisam ser tratados visando a melhoria
dos processos e a qualidade dos servios.
Como propostas de melhoria, sugere-se o redesenho dos processos e a composio da
estrutura de GSTI, considerando os itens crticos, conforme anlise dos riscos realizada.
O redesenho dos processos foi elaborado tendo como referencial as recomendaes do
Livro Service Design da biblioteca ITIL V3 e nos domnios APO06, APO10, APO11 e
APO12 do COBIT 5. J a estrutura de GSTI contm um conjunto de documentos, alguns
j implementados no rgo, que referem-se ao atendimento dos principais problemas
levantados. Esse conjunto de documentos composto por um plano de gesto de risco,
documentao do processo, plano de acordo de nvel de servio e catlogo de servio.
Acredita-se que o objetivo principal de propor uma estrutura de GSTI baseada nas
boas prticas foi alcanado, pois atende ao que recomendado pela ITIL e pelo COBIT,
no que se refere s definies dos documentos bsicos, tais como: Catlogo de Servios,
Acordo de Nveis de Servios, Documentao de Processos e Plano de Gesto de Risco.
Nesse aspecto, a ISO 20000 recomenda que provedores de servios forneam docu-
mentos e registros para assegurar o planejamento, operao e controle efetivo do geren-
ciamento de servios. Alm disso, a prpria ISO 20000 com base nas recomendaes da
ITIL V3, reconhece que a adoo de boas prticas deve ser feita de forma gradual, ou
seja, partir de um escopo reduzido de processos e posteriomente aplicar aos demais.
Esse conjunto de documentos e processos devem ser gerenciados e controlados ade-
quadamente para que se tenha o resultado desejado, que a melhoria na qualidade dos
servios para os clientes e usurios e, consequentemente, a gerao de valor ao negcio
135
da instituio. E para a implementao dessas boas prticas sugere-se a adoo de ferra-
menta de gesto de servios de TI aderente s recomendaes da ITIL, como o caso do
software citsmart
R
. Porm, cabe destacar que a simples implementao da ferramenta
no contribui efetivamente para a melhoria do processo de GSTI. Isso precisa levar
em conta a documentao dos processos e levantamentos dos riscos para que seja dis-
ponibilizada uma estrutura de trabalho com base em ferramenta tecnolgica, processos
documentados e, com isso, as pessoas envolvidas tenham subsdios para desenvolvimento
de suas atividades para atendimento aos clientes e usurios da instituio.
Como sugestes de trabalhos futuros, sugere-se o desenvolvimento de estudos relaci-
onados aos seguintes aspectos:
136
Referncias
[1] ABNT. NBR ISO 9004-2: Gesto da qualidade e elementos do sistema de qua-
lidade - parte 2: Diretrizes para servios. Technical Report 2, ASSOCIAO
BRASILEIRA DE NORMAS TCNICAS, Rio de Janeiro, Brasil, 1993. 13
[5] ABNT. NBR ISO/IEC 31010-2012: Gesto de riscos - tcnicas para o processo de
avaliao de riscos. Technical report, ASSOCIAO BRASILEIRA DE NORMAS
TCNICAS, Rio de Janeiro, Brasil, 2012. 39, 51, 52, 54, 55, 75, 114
137
[10] M. C BELDERRAIN e R. M SILVA. Consideraes sobre mtodos de deciso
multicritrio. In XI Encontro de Iniciao Cientfica e Ps-Graduao do ITA,
So Paulo, 2005. 36
[11] V BELTON e T. J STEWART. Multiple criteria decision analysis: an integrated
approach. Kluwer Academic Press, Boston, 2002. 34
[12] L BEZERRA. Estrutura da itil. Acesso em 22 de Agosto de 2013, 2010.
https://tecnologiaegestao.worpress.com/tag/mapa-mental-itil-v3. 20
[13] J. V BON. Fundamentos do gerenciamento de servios de TI. Van Haren Pu-
blishing, So Paulo, 2007. 13, 20
[14] T. O BOUCHER e E. L MACSTRAVIC. Comparison between two multiatri-
butte decision methodologies used in capital investment decision analysis. In The
Engineering Economista. 35
[15] BRASIL. Programa excelncia gerencial do exrcito brasileiro (peg-eb). Acesso
em 15 de agosto de 2014, 2007. http://www.portalpeg.eb.mil.br. 63
[16] Brasil. Acrdo 1603/2008 - plenrio, 2008. levantamento de auditoria. situao
da governana de tecnologia da informao - ti na administrao pblica federal.
Technical report, Tribunal de Contas da Unio - TCU, Braslia, 2008. 4, 85
[17] BRASIL. Nota tcnica 06/2010 tcu. Acesso em 24 de agosto de 2014, 2011.
http://portal2.tcu.gov.br/portal/docs/2534415.PDF. 3, 22, 26, 73, 88
[18] BRASIL. Pesquisas de governana de ti: Tribunal de con-
tas da unio. Acesso em 17 de agosto de 2014, 2012.
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia.
2, 4, 79, 80, 81, 82, 83, 84, 85, 86, 88, 89
[19] BRASIL. Entendendo a governana de ti. Acesso em 20 de agosto de 2014, 2013.
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governancati.
40, 41, 73
[20] BRASIL. Levantamento de governana de ti 2014: Relatrio individual fundao
universidade de braslia. Technical report, Tribunal de Contas da Unio, Braslia,
2014. 2
[21] A. CABRAL e C GIOMO. Gerenciamento do processo produtivo. Revista Emba-
news, pages 12, 2013. 67
[22] R CAMPOS e S LIMA. Mapeamento de processos: Importncia para as organi-
zaes. 2012. 67
[23] F. N CASAROTTO e B. H KOPITTKE. Anlise de Investimentos: matem-
tica financeira, engenharia econmica, tomada de deciso e estratgia empresarial.
Atlas, So Paulo, 2000. 34
138
[24] F CESTARI FILHO. Gerenciamento de servios de TI. RNP, Rio de Janeiro,
2010. 15, 16, 17, 28, 29, 38
[27] R COLIN e L VERNON. Service Design, ITIL, Version 3. The Stationery Office,
2010. 20, 21
139
[38] A. A FERREIRA, A. C REIS, e M. I PEREIRA. Gesto empresarial: de taylor
aos nossos dias, evoluo e tendncias da moderna administrao de empresas.
Pioneira, 2002. 58
[47] A. C GIL. Mtodos e tcnicas de pesquisa social. Atlas, So paulo, SP, 1995. 72
140
[53] M HAMMER e J CHAMPY. Reengenharia: revolucionando a empresa, em funo
dos clientes, da concorrncia e das grandes mudanas da gerncia. Campus, Rio
de Janeiro, RJ, 1999. 59
[54] S HILL. Guia sobre a gesto de riscos no servio pblico. Escola Nacional de
Administrao, Braslia, DF, 2006. 42, 56, 57
[55] V. D HUNT. Process mapping: how to reengineer your business process. Jonh
Wiley and Son, New York, 1996. 60
[66] R LEOPOLDI e V HOWELLS. The service catalog. Help Desk Institute, 2004.
24, 38
141
[68] E LIMA. Service desk: do cardpio ao catlogo de servios. Acesso em 15 de
Setembro de 2013, 2001. http://tiinside.com.br/Imprimir.aspx?ID136804. 24
[69] I. L MAGALHES e W. B PINHEIRO. Gerenciamento de Servios de TI na
Prtica: Uma abordagem com base na ITIL. Novatec, So Paulo, 1st edition,
2007. 1, 8, 9, 10, 11, 13, 15, 16, 17, 19, 22, 24, 38, 43, 60, 61, 125, 127
[70] R MANSUR. Governana de TI: Metodologias, frameworks, melhores prticas.
Brasport, Rio de Janeiro, RJ, 2007. 17, 38
[71] M. A MARCONI e E. M LAKATOS. Tcnicas de pesquisa - planejamento e
execuo de pesquisas, amostragens e tcnicas de pesquisas, elaborao, anlise e
interpretao de dados. Atlas, So Paulo, 6 ed edition, 2007. 71, 72
[72] C MARSHALL. Medindo e gerenciando Riscos operacionais em instituies finan-
ceiras. Qualitymart, So Paulo, SP, 2002. 42
[73] M. M MARTINS. Gerenciamento de servios de ti: uma proposta de integrao de
processos de melhoria e gesto de servios. Dissertao (Mestrado), Universidade
de Braslia. 63, 65, 66
[74] T MAY. Pesquisa Social: questes, mtodos e processos. Artmed, Porto Alegre,
RS, 2004. 52, 55
[75] S MIZUNO. Gerncia para melhoria da qualidade: as sete novas ferramentas do
controle da qualidade. LTC, Rio de Janeiro, RJ, 1993. 53
[76] C MORIKANE. O gerenciamento de servios de tecnologia da informao (ti) em
uma instituio pblica: aplicabilidade da norma iso 20000 em uma instituio
pblica de ensino. Dissertao (Mestrado), Universidade de Taubat, Taubat,
SP, 2008. Dissertao de Mestrado. 15
[77] MPOG. Padro de Trabalho de Modelagem de Processos. Ministrio do Planeja-
mento, Oramento e Gesto, Braslia, DF, 2007. 64, 68
[78] A. F NETTO. Proposta de artefato de identificao de riscos nas contrataes
de ti na administrao pblica federal, sob a tica da abnt nbr iso 31000 - gesto
de riscos. Dissertao (Mestrado), Universidade de Braslia, Braslia, DF, 2013.
Dissertao de Mestrado. 50, 52
[79] OGC. Best pratices itil. Acesso em 15 de Setembro de 2013, 2010.
http://www.best-management-pratice.com/Publications-Library/IT-Service-
Management-ITIL/ITIL-Version-3/Service-Strategy/?Dl=582325. 13, 14, 25,
38
[80] O. G OGC. ITIL - Service Design. The Stationery Office, London, 2007. 121
[81] D. P OLIVEIRA. Planejamento estratgico: conceitos, metodologia e prticas.
Atlas, So Paulo, SP, 2008. 60
142
[82] F PALMA. Cliente e usurio pela viso de gesto de servios de til. Acesso em 24
de Agosto de 2013, 2009. http://www.portalgsti.com.br/2009/10/qualdiferenca-
entreclienteeusuario.html. 12, 38
[83] H. F PINTO. Gesto universitria e a poltica de informao: o caso do conselho
de informtica da universidade de braslia. Dissertao (Mestrado), Universidade
de Braslia, Braslia, DF, 2012. Dissertao de Mestrado. 91
[84] PMI. Guia PMBOK: Um guia do conjunto de conhecimentos em gerenciamento
de projetos. Project Management Institute, 2004. 42, 54, 55
[85] R. E POTTER, E TURBAN, e R. K RAINER. Administrao de Tecnologia da
Informao: teoria e prtica. Elsevier, Rio de Janeiro, RJ, 2005. 8
[86] M. S RAMOS. Utilizao da abordagem multicritrio para priorizao do portflio
de projetos de investimentos em refino de petrleo. Dissertao (Mestrado), Rio
de Janeiro, RJ, 2010. Dissertao de Mestrado. 37
[87] C. H RIBEIRO. Prticas de governana de TI na administrao pblica federal
caracterizadas no espectro da perversidade (Wickedness) dos problemas. UCB,
Braslia, DF, 2012. 78
[88] R RIGONI. Nova iso 9001 2005 ter gesto de risco como novidade. Total Quali-
dade, 2013. 48
[89] M. V RODRIGUES. Gesto Empresarial: organizaes que aprendem. Quality-
mart, Rio de Janeiro, RJ, 2002. 1
[90] S ROESCH. Projeto de estgio e de pesquisa em administrao. Atlas, So Paulo,
SP, 2009. 4
[91] L ROSA. A itil e a iso/iec 20000 - o que elas tm em comum? Acesso em 24 de
Agosto de 2013, 2010. http://www.modulo.com.br/comunidade/articles/1195-a-
itil-e-a-isoiec-20000-o-que-elas-tem-em-comum. 28
[92] T. L SAATY. Mtodo de Anlise Hierrquica. McGraw-Hill-Makron, 1991. 34,
35, 36, 37, 38
[93] A. T SANTANA. Aspectos do gerenciamento de riscos de tecnologia da informao
nas empresas: um estudo de casos mltiplos. Dissertao (Mestrado), Universidade
Federal do Rio Grande do Norte. 42
[94] D. L SANTOS. Avaliao da capacidade dos processos de governana corporativa
de ti baseada no cobit 5. Revista Eletrnica de Sistemas Informao (RESI), 2013.
30
[95] R. C SANTOS, R. F CAMEIRA, A. A CLEMENTE, e R. G CLEMENTE. En-
genharia de processos de negcios: aplicaes e metodologias. XXII Encontro
Nacional de Engenharia de Produo - ENEGEP, 2002. 69
143
[96] L. M SCARTEZINI. Anlise e melhoria de processos. 2010. 63, 65
[100] H SMITH e P FINGAR. Business Process Management (BPM): The third wave.
Meghan Kiffer Press, 2007. 66
[101] R SMITH JR. Srie grc: Riscos de ti. Acesso em 30 de Setembro de 2014,
2010. http://blogs.technet.com/b/ronaldosjr/archive/2010/02/26/s-rie-grc-riscos-
de-ti.aspx. 43
[106] TCU. Curso de Mapeamento de Processos de Trabalho com BPMN e Bizagi. Tri-
bunal de Contas da Unio, Braslia, DF, 2013. 66, 67, 68, 69
144
[111] J. C VAZ. Processos de trabalho no setor pblico: gesto e redesenho. Acesso em 22
de Agosto de 2013, 2014. http://josecarlosvaz.pbwiki.com/RedesenhodeProcessos.
61
[112] W VAZ. Cobit 5: Aspectos gerais. Technical report, ENAUTI, Braslia, 2013. 30
145
Apndice A
146
Figura A.1: Processos COBIT 5 - APO (Alinhar, Planejar e Organizar)
147
Figura A.2: Processos COBIT 5 - DSS (Entregar, Servir e Suportar)
148
Apndice B
149
Figura B.2: Roteiro Entrevista Preliminar - Gestores CPD
150
Apndice C
151
Figura C.2: Pesquisa Multicritrio - Gestores das reas de Negcio
152
Figura C.3: Pesquisa Multicritrio - Gestores das reas de Negcio
153
Figura C.4: Pesquisa Multicritrio - Gestores das reas de Negcio
154
Figura C.5: Pesquisa Multicritrio - Gestores das reas de Negcio
155
Figura C.6: Pesquisa Multicritrio - Gestores das reas de Negcio
156
Apndice D
157
Apndice E
Documentao do Processo
158
Figura E.2: Proposta de documentao de processos
159
Apndice F
160
Figura F.2: Proposta Plano de Acordo de Nvel de Servio
161
Figura F.3: Proposta Plano de Acordo de Nvel de Servio
162
Apndice G
163
Figura G.2: Guia de Catlogo de Servio
164
Apndice H
165
Figura H.2: Mdulos Processo ITIL - Software Citsmart
166